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第 2 版 前 言 


目 云 计算 步 入 市 场 算 起 ， 新 一 代 计 算 技 术 刚 好 走 过 了 第 一 个 十 
4g e 


在 过 去 十 年 里 ， 围 绕 计 算 、 存 储 、 网 络 三 大 基础 服务 ， 围 绕 敏捷 
服务 和 规模 处 理 两 大 核心 诉求 ， 新 的 概念 、 模 式 和 工具 争 相 涌现 。 这 
些 创新 的 开源 技术 成 果 ， 提 高 了 整个 信息 产业 的 生产 效率 ， 降 低 了 应 
用 信息 技术 的 门槛 ， 让 “互联 网 +” 成 为 可 能 。 


如 果 说 软件 定义 网 络 (SDN) 和 网 络 功 能 虚拟 化 (NFV) 让 互联 
网 络 的 虚拟 化 进入 了 轩 新 的 阶段 ， 那 么 容器 技术 的 出 现 ， 这 无 疑问 称 
得 上 计算 虚拟 化 技术 的 又 一 大 创新 。 从 Linux Container 到 Docker， 看 似 
是 计算 技术 发 展 的 一 小 步 ， 却 是 极为 重要 的 历史 性 突破 。 容 器 带 来 的 
不 仅仅 是 技术 体验 上 的 改进 ， 更 多 的 是 新 的 开发 模式 、 新 的 应 用 场 
景 、 新 的 业务 可 能 .………. 


容 絮 技术 目 身 在 快速 演进 的 同时 ， 笔 者 也 很 欣喜 地 看 到 ， 围 绕 着 
容器 的 开源 生态 系统 越发 繁盛 。Docker 三 剑客 Machine、Compose ^ 
Swarm 相辅相成 ， 集 团 作战 搜索 巨人 则 推出 Kubernetes， 领 航 新 一 代 
容器 化 应 用 集群 平台 ; 还 有 Mesos、CoreOS， 以 及 其 他 众多 的 开源 工 


具 。 这 些 工具 的 出 现 ， 弥 补 了 现 有 容器 技术 栈 的 不 足 ， 极 大 地 丰富 了 
容器 技术 的 应 用 场景 ， 增 强 了 容 旧 技 术 在 更 多 领域 的 苋 争 力 。 


在 第 2 版 中 ， 笔 者 参照 容 右 技术 最 新 进展 对 全 书 内 容 进行 了 修订 完 
普 ， 并 增加 了 第 四 部 分 专门 介绍 与 容 右 相关 的 知名 开源 项 目 ， 利 用 好 
这 些 优秀 的 开源 平台 ， 可 以 更 好 地 在 生产 实践 中 受益 。 


成 书 之 际 ，Docker 发 布 了 1.13 版 本 ， 市 来 了 更 稳定 的 性 能 和 更 多 
有 趣 的 特性 。 


再 次 感谢 容 紫 技术 ， 感 谢 开 源 文 化 ， 布 望 开源 技术 能 得 到 更 多 的 
支持 和 贡献! 


最 后 ，IBM 中 国人 研究 院 的 刘 天 成 、 李 玉 博 等 帮忙 审阅 了 部 分 内 
容 ， 在 此 表达 最 深厚 的 感谢 


杨 保 华 


2016 年 12 月 于 北京 


第 1 版 前 言 


在 一 台 服 务 器 上 同时 运行 一 百 个 虚拟 机 ， 肯 定 会 被 认为 是 疾 人 说 
梦 。 而 在 一 台 服务 器 上 同时 运行 一 千 个 Docker 容 器 ， 这 已 经 成 为 现 
实 。 在 计算 机 技术 高 速 发 展 的 今天 ， 划 日 的 天 方 夜 谭 正在 一 个 个 变 成 
现实 。 


多 年 的 研发 和 运 维 (DevOps) 经 历 中 ， 笔 者 时 常会 磁 到 这 样 一 个 
困境 ， 用 户 的 需求 越 来 越 多 样 ， 系 统 的 规模 越 来 越 上 庞大， 运行 的 软件 
越 来 越 复杂 ， 环 境 配置 问题 所 造成 的 麻烦 层出不穷 ..…. 为 了 解决 这 些 
问题 ， 开 源 社 区 推出 过 不 少 优秀 的 工具 。 这 些 方案 虽然 在 某 些 程度 上 
确 能 解决 部 分 “燃眉之急 ”， 但 古 始 终 没 有 一 种 方案 能 市 来 “一 劳 水 
逸 ” 的 效 末 。 


让 作为 企业 最 核心 资源 的 工程 师 们 花费 大 量 的 时 间 ， 去 解决 各 种 
环境 和 配置 引发 的 Bug， 这 真 的 正常 吗 ? 


回顾 计算 机 的 发 展 历程 ， 最 初 ， 程 序 设计 人 员 需 要 直接 操作 各 种 
枯燥 的 机 器 指令 ， 编 程 效率 之 低 可 想 而 知 。 高 级 语言 的 诞生 ， 将 机 器 
指令 的 具体 实现 成 功 抽象 出 来 ， 从 此 揭 开 了 计算 机 编程 效率 突飞猛进 
的 大 时 代 。 那 么 ， 为 什么 不 能 把 类 似 的 理念 (抽象 与 分 层 ) 也 引入 到 
现代 的 研发 和 运 维 领域 呢 ? 


Docker 无 疑 在 这 一 方向 上 迈 出 了 具有 单 新 意义 的 一 步 。 笔 者 在 刚 
接触 Docker 时 ， 束 为 它 所 能 带 来 的 敏捷 工作 流程 而 深 深 吸 引 ， 也 为 它 
能 充分 挖掘 云 计 算 资 源 的 效能 而 兴 理 不 已 。 我 们 深信 ，Docker 的 出 
现 ， 必 将 给 DevOps 技 术 ， 甚 至 整个 信息 技术 产业 的 发 展 珊 来 深远 的 影 
响 。 


笔者 曾 笑 试 编写 了 介绍 Docker 技 术 的 中 文 开源 文档 。 短 短 一 个 月 
的 时 间 ， 况 收 到 了 来 自 全 球 各 个 地 区 超过 20 万 次 的 阅读 量 和 全 五 星 的 
好 评 。 这 让 我 们 看 到 国内 技术 界 对 于 痢 兴 开源 扩 术 的 敏锐 嗅觉 和 迫切 
需求 ， 同 时 也 倍 感 压力 ， 生 人 其 中 有 不 妥 之 处 ， 影 响 了 大 家 学 习 和 推 
广 Docker 技 术 的 热情 。 在 开源 文档 撰写 过 程 中 ， 我 们 一 直 在 不 断 思 
考 ， 在 生产 实践 中 到 底 怎 么 用 Docker 才 是 合理 的 ? 在 “华章 图 书 ” 的 帮 
助 下 ， 终 于 有 了 现在 读者 手中 的 这 本 书 。 


与 很 多 技术 类 书籍 不 同 ， 本 书 中 避免 一 上 来 现 讲 述 元 长 的 故事 ， 
而 古 试图 深入 浅 出 、 直 奔 主题 ， 在 最 短 时 间 内 让 读者 理解 和 掌握 最 关 
键 的 技术 上 后， 并 且 配 合 实际 操作 案例 和 精炼 的 点 评 ， 给 读者 近 供 真正 
可 以 上 手 的 实战 指南 。 


本 书 在 结构 上 分 为 三 大 部 分 。 第 一 部 分 古 Docker 技 术 的 基础 知识 
介绍 ， 这 部 分 将 让 读者 对 Docker 技 术 能 做 什么 有 个 全 局 的 认识 ， 第 二 
部 分 将 具体 讲解 各 种 典型 场景 的 应 用 案例 ， 供 读者 体会 Docker 在 实际 
应 用 中 的 高 效 秘诀 第 三 部 分 将 讨论 一 些 侦 技术 环节 的 高 级 话题 ， 试 


图 让 读者 理解 Docker 在 设计 上 的 工程 美学 。 最 后 的 附录 归纳 了 应 用 
Docker 的 常见 问题 和 一 些 常 用 的 参考 资料 。 读 者 可 根据 目 喘 需求 选择 
阅读 重点 。 全 书 主 要 由 杨 保 华 和 戴 王 剑 主笔 ， 曹 亚 仑 写作 了 编程 开发 
和 实践 之 道 划 让。 


本 书 在 写作 过 程 中 参考 了 官方 网 站 上 的 部 分 文档 ， 并 得 到 了 
DockerPool 技 术 社 区 网 友 们 的 积极 反馈 和 支持 ， 在 此 一 并 感谢 ! 


成 稿 之 际 ，Docker 已 经 发 布 了 增强 安全 特性 的 1.3.2 版 本 。 衷 心 祝 
原 Docker 及 相关 反 术 能 够 快速 成 长 和 成 熟 ， 让 众多 IT 从 业 人 员 的 工作 
和 生活 都 更 加 健康 、 更 加 美好 ! 


作者 于 2014 年 11 月 


第 3 章 “” 使 用 Docker 镜 像 

第 4 章 “” 操作 Docker 容 器 

第 5 章 ”访问 Docker 仓 库 

:第 6 草 ”Docker 数 据 管理 

第 7 章 ” 端 口 映 射 与 容 句 互联 
:第 8 章 ”使 用 Dockerfile 创 建 镜像 


本 部 分 共有 8 章 内 容 ， 笔 者 将 介绍 Docker 和 容器 的 相关 基础 知识 。 


第 1 章 介绍 Docker 的 前 世 与 今生 ， 以 及 它 与 现 有 的 虚拟 化 技术 ， 特 
别 是 Linux 容 器 技术 的 关系 。 


第 2 章 介 绍 Docker 的 三 大 核心 概念 ， 以 及 如 何在 常见 的 操作 系统 环 
这 中 安装 Docker 。 
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第 3 章 到 第 5 章 通过 具体 的 示例 ， 讲 解 使 用 Docker 的 常见 操作 ， 包 
TÉ TER ^ TERRIER o 


第 6 章 谢 析 如 何在 Docker 中 使 用 数据 着 来 保存 持久 化 数据 。 


第 7 章 介绍 如 何 使 用 端口 映射 和 容器 互联 来 方便 外 部 对 容器 服务 的 
访问 。 


第 8 章 介 绍 如 何 编写 Dockerfile 配 置 文件 ， 以 及 使 用 Dockerfile 来 创 
建 镜 像 的 具体 方法 和 注意 事项 。 


第 1 章 ，” 初 识 容 船 与 Docker 


如 果 说 主机 时 代 大 家 比拼 的 是 单个 服务 器 物理 性 能 (如 CPU 主 频 
MAF) ， 那 么 在 云 时 代 ， 最 为 看 重 的 则 是 和 凭借 虚拟 化 技术 所 构建 的 
集群 处 理 能 


伴随 着 信息 技术 的 飞速 发 展 ， 虚 拟 化 技术 早已 经 广泛 应 用 到 各 种 
关键 场景 中 。 从 20 世 纪 60 年 代 IBM 推 出 的 大 型 主机 虚拟 化 ， 到 后 来 以 
Xen、KVM 为 代表 的 虚拟 机 虚拟 化 ， 再 到 现在 以 Docker 为 代表 的 容器 
技术 ， 虚 拟 化 技术 目 身 也 在 不 断 进行 创新 和 突破 。 


传统 来 看 ， 虚 拟 化 既 可 以 通过 硬件 模拟 来 实现 ， 也 可 以 通过 操作 
系统 软件 来 实现 。 而 容器 技术 则 更 为 优雅 ， 它 充分 利用 了 操作 系统 
身 已 有 的 机 制 和 特性 ， 可 以 实现 远 超 传统 虚拟 机 的 轻 量 级 虚拟 化 。 因 
此 ， 有 人 甚至 把 它 称 为 “新 一 代 的 虚拟 化 ”技术 ， 并 将 基于 容器 打造 的 


Docker 盈 无 疑问 正 是 众多 容 需 技术 中 的 佼佼 着， 是 容 郁 技术 发 展 
过 程 中 灼眼 的 一 抹 亮 色 。 那 么 ， 什 么 是 Docker? 它 会 市 来 哪些 好 处 ? 
它 跟 现 有 虚拟 化 技术 又 有 何 关 系 ? 


本 章 首 先 会 介绍 Docker 项 目的 起 源 和 发 展 过程 ， 之 后 会 为 大 家 误 
析 Docker 和 相关 容器 技术 ， 以 及 它 在 DevOps 等 场景 这 来 的 巨大 便利 。 


最 后 ， 还 将 阐述 Docker 在 整个 虚拟 化 领域 中 的 技术 定位 。 


1.1 什么 是 Docker 


1.Docker7T 159i H FE 


Docker T Goi& gH KMA US ESSE E, WEd: T 20131E4F 4], 
最 初 发 起 者 是 dotCloud 公 司 。Docker 自 开源 后 受到 广泛 的 关注 和 讨论 ， 
目前 已 有 多 个 相关 项 目 (包括 Docker 三 剑客 、Kubemetes 等 ) ， 逐 渐 形 
成 了 围绕 Docker 容 器 的 生态 体系 。 


由 于 Docker 在 业界 造成 的 影响 力 实在 太 大 ，dotCloud 公 司 后 来 也 直 
接 改 名 为 Docker Inc， 并 专注 于 Docker 相 关 技 术 和 产品 的 开发 。 


What is Docker? Solutions Get Docker Pricing Open Source Company 


BUILD, SHIP, RUN 


Docker is the world's leading software containerization platform 


图 1-1 Docker 官 方 网 站 


Docker 项 目 已 加 入 了 Linux 基 金 会， 并 遵循 Apache2.0 协 议 ， 全 部 开 
源 代码 均 在 https://github.com/docker/docker 上 进行 维护 。 在 Linux 基 金 会 
最 近 一 次 天 于 “最 受 欢 迎 的 云 计算 开源 项 目 ” 的 调查 中 ，Docker 仅 次 于 
2010 年 发 起 的 OpenStack 项 目 ， 并 仍 处 于 上 升 趋势 。 


现在 主流 的 Linux 操 作 系 统 都 已 经 支持 Docker。 例 如 ， 红 帽 公司 的 
RHEL 6.5/CentOS 6.5 往 上 的 操作 系统 、Ubuntu 14.04 往 上 的 操作 系统 ， 
都 已 经 在 软件 源 中 默认 带 有 Docker 软 件 包 。Google 公 司 宣称 在 其 PaaS 

(Platform as a Service) 平台 及 服务 产品 中 广泛 应 用 了 Docker 容 器 。 
IBM 公 司 跟 Docker 公 司 达 成 了 战略 合作 伙伴 关系 。 微 软 公司 在 其 云 平台 
Azure 上 加 强 了 对 Docker 的 支持 。 公 有 云 提 供 商 亚马逊 也 推出 了 AWS 
EC2 Container 服 务 ， 提 供 对 Docker 和 容器 业务 的 支持 。 


Docker 的 构想 是 要 实现 “Build，Ship and Run Any App, 
Anywhere”， 即 通过 对 应 用 的 封装 (Packaging) 、 分 发 
(Distribution) 、 部 署 (Deployment) 、 运 行 (Runtime) 生命 周期 进 
行 管理 ， 达 到 应 用 组 件 “ 一 次 封闭， 到 处 运行 ”的 目的 。 这 里 的 应 用 组 
件 ， 既 可 以 是 一 个 web 应 用 、 一 个 编译 环境 ， 也 可 以 是 一 套数 据 库 平台 
服务 ， 甚 至 是 一 个 操作 系统 或 集群 。 


基于 Linux 平 台 上 的 多 项 开源 技术 ，Docker 提 供 了 高 效 、 敏 捷 和 轻 
量 级 的 容器 方案 ， 并 支持 部 署 到 本 地 环境 和 多 种 主流 云 平台 。 可 以 


说 ，Docker 自 次 为 应 用 的 开发 、 运 行 和 部 署 提 供 了 “一 站 式 ” 的 实用 解决 


方案 。 
2.Linux 容 器 技术 一 一 巨人 的 肩膀 


跟 大 部 分 新 兴 技 术 的 诞生 一 样 ，Docker 也 并 非 * 从 石头 颖 里 蹦 出 来 
的 ”， 而 是 站 在 前 人 的 肩膀 上 ， 其 中 最 重要 的 就 是 Linux 容 髓 (Linux 
Containers，LXC) 技术 。 


IBM DeveloperWorks 网 站 天 于 容 锅 技术 的 描述 十 分 准确 : "Eus 
效 地 将 由 单个 操作 系统 管理 的 资源 划分 到 孤立 的 组 中 ， 以 更 好 地 在 孤 
立 的 组 之 间 平 衡 有 冲突 的 资源 使 用 需求 。 与 虚拟 化 相 比 ， 这 样 既 不 需 
要 指令 级 模拟 ， 也 不 需要 即时 编译 。 容 器 可 以 在 核心 CPU 本 地 运行 指 
令 ， 而 不 需要 任何 专门 的 解释 机 制 。 此 外 ， 也 避免 了 准 虚 拟 化 
(paravirtualization) 和 系统 调用 替换 中 的 复杂 性 。” 


当然 ，LXC 也 经 历 了 长 期 的 演化 。 最 早 的 容器 技术 可 以 追溯 到 
1982 年 Unix 系 列 操作 系统 上 的 chroot 工 具 (直到 今天 ， 主 流 的 Unix、 
Linux 操 作 系统 仍然 支持 和 带 有 该 工具 ) 。 早 期 的 容器 实现 技术 包括 
Sun Solaris 操 作 系统 上 的 Solaris Containers (2004 年 发 布 ) ，FreeBSD 操 
作 系 统 上 的 FreeBSD jail. (2000 年 左右 出 现 ) ， 以 及 GNU/VLinux 上 的 


Linux-VServer 和 OpenVZ。 


在 LXC 之 前 ， 这 些 相 关 技 术 经 过 多 年 的 演化 已 经 十 分 成 熟 和 稳 
定 ， 但 是 由 于 种 种 原因 ， 它 们 并 没有 被 很 好 地 集成 到 主流 的 Linux 内 核 
中 ， 用 户 使 用 起 来 并 不 方便 。 例 如 ， 如 果 用 户 要 使 用 OpenVZ 技 术 ， 需 
要 先 手 动 给 操作 系统 打上 特定 的 内 核 补丁 方 可 使 用 ， 而 且 不 同 版 本 并 
不 一 致 。 类 似 的 困难 造成 在 很 长 一 段 时 间 内 ， 这 些 优秀 的 技术 只 流传 
于 技术 人 员 的 小 圈子 中 。 


后 来 LXC 项 目 借 鉴 了 前 人 成 熟 的 容器 设计 理念 ， 并 基于 一 系列 新 
引入 的 内 核 特 性 ， 实 现 了 更 具 扩展 性 的 虚拟 化 容器 方案 。 更 加 关键 的 
是 ，LXC 终 于 被 集成 到 了 主流 Linux 内 核 中 ， 进 而 成 为 了 Linux 系 统 轻 量 
级 容 硕 技术 的 事实 标准 。 从 技术 层面 来 看 ，LXC 已 经 趟 过 了 绝 大 部 分 
的 “ 坑 ?”， 完 成 了 容 需 技术 实用 化 的 大 半 历 程 。 


3. Linux 88 $l|Docker 
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入 了 寻常 百姓 家 o 


首先 ，Docker 提 供 了 各 种 容器 管理 工具 (如 分 发 、 版 本 、 移 植 
等 ) 让 用 户 无 需 关 注 底层 的 操作 ， 可 以 更 简单 明了 地 管理 和 使 用 容 
器 ;其 次 ，Docker 通 过 引入 分 层 文件 系统 构建 和 高 效 的 镜像 机 制 ， 降 
低 了 迁移 难度 ， 极 大 地 提升 了 用 户 体验 。 用 户 操作 Docker 容 器 就 像 操 
EMH H E — FETRI SR. o 


早期 的 Docker 代 码 实 现 是 直接 基于 LXC 的 。 目 0.9 版 本 开始 ， 
Docker 开 发 了 libcontainer 项 目 ， 作 为 更 广泛 的 容 絮 驱动 实现 ， 从 而 玲 换 
掉 了 LXC 的 实现 。 目 前 ，Docker 还 积极 推动 成 立 了 runC 标 准 项 目 ， 试 
图 证 容 需 文 持 不 再 局 限于 Linux 损 作 系统 ， 而 是 更 安全 、 更 具 扩展 性 。 

简单 地 讲 ， 读 者 可 以 将 Docker 容 器 理解 为 一 种 轻 量 级 的 沙 盒 

(sandbox) 。 每 个 容器 内 运行 着 一 个 应 用 ， 不 同 的 容器 相互 隔离 ， 容 

器 之 间 也 可 以 通过 网 络 互相 通信 。 容 器 的 创建 和 停止 都 十 分 快速 ， 几 
乎 跟 创 建 和 终止 原生 应 用 一 致 ， 另外， 容器 目 身 对 系统 资源 的 额外 需 
求 也 十 分 有 限 ， 远 远 低 于 传统 虚拟 机 。 很 多 时 候 ， 甚 至 直接 把 容 铝 


作 应 用 本 喘 也 没有 任何 问题 。 


器 


有 理由 相信 ，Docker 技 术 会 进一步 成 熟 ， 将 成 为 更 受 欢 迎 的 容 
虚拟 化 技术 实现 ， 并 在 云 计 算 和 DevOps 等 领域 得 到 更 广泛 的 应 用 。 


1.2 为 什么 要 使 用 Docker 
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Docker 项 目的 发 起 人 和 Docker 公 司 CTO Solomon Hykes 曾 认为 ， 
Docker 在 正确 的 地 点 、 正 确 的 时 间 顺 应 了 正确 的 趋势 一 一 如 何 正 确 地 
构建 应 用 。 


在 云 时 代 ， 开 发 者 创建 的 应 用 必须 要 能 很 方便 地 在 网 络 上 传播 ， 
也 束 是 说 应 用 必须 脱离 故 层 物理 硬件 的 限制 ， 同 时 必须 是 “任何 时 间 、 
任何 地 点 ”可 获取 的 。 因 此 ， 开 发 者 需要 一 种 新 型 的 创建 分 布 式 应 用 程 
序 的 方式 ， 快 速 分 发 和 部 署 ， 这 正 是 Docker 所 能 够 提供 的 最 大 优势 。 


举 个 简单 的 例子 ， 假 设 用 户 试图 基于 最 常见 的 LAMP 
(Linux+Apache+ MySQL+PHP) 组 合 来 构建 一 个 网 站 。 按 照 传统 的 做 
法 ， 首 先 ， 需 要 安装 Apache、MySQL 和 PHP 以 及 它们 各 自 运行 所 依赖 
的 环境 ， 之 后 分 别 对 它们 进行 配置 (包括 创建 合适 的 用 户 、 配 置 参数 
等 ) ; 经 过 大 量 的 操作 后 ， 还 需要 进行 功能 测试 ， 看 是 否 工 作 正 常 ，; 
如 果 不 正常 ， 则 进行 调试 追踪 ,意味 着 更 多 的 时 间 代 价 和 不 可 控 的 风 
险 。 可 以 想象 ， 如 果 应 用 数目 变 多 ， 事 情 会 变 得 更 加 难以 处 理 。 


更 为 可 怕 的 是 ， 一旦 需要 服务 器 迁移 〈 例 如 从 亚马逊 云 迁移 到 其 
他 云 ;) ， 往 往 需要 对 每 个 应 用 都 进行 重新 部 署 和 调试 。 这 些 琐 胡 而 无 


趣 的 “体力 活 ”"”， 极 大 地 降低 了 工作 效率 。 究 其 根源 ， 是 这 些 应 用 直接 
运行 在 的 层 操作 系统 上 ， 无 法 保证 同一 份 应 用 在 不 同 的 环境 中 行为 一 
Bs 


而 Docker 近 供 了 一 种 更 为 聊 明 的 方式 ， 通 过 容 角 来 打包 应 用 ， 解 
耦 应 用 和 运行 平台 。 意 味 着 迁移 的 时 候 ， 只 需要 在 新 的 服务 器 上 启动 
需要 的 容器 就 可 以 了 ， 无 论 新 旧 服 务 器 是 否 是 同一 类 型 的 平台 。 这 无 
疑 将 万 约 大 量 的 至 贯 时 间 ， 并 降低 部 署 过 程 出 现 问题 的 风险 。 


2.Docker 在 开发 和 运 维 中 的 优势 


对 开发 和 运 维 (DevOps) 人 员 来 说 ， 可 能 最 梦 才 以 求 的 效果 就 是 
一 次 创建 或 配置 ， 之 后 可 以 在 任意 地 方 、 任 意 时 间 让 应 用 正常 运行 。 
而 Docker 恰 恰 古 可 以 实现 这 一 终极 目标 的 “瑞士 军力 ”。 


具体 说 来 ，Docker 在 开发 和 运 维 过 程 中 ， 具 有 如 下 几 个 方面 的 优 
势 : 


.更 快速 的 交付 和 部 署 。 使 用 Docker， 开 发 人 员 可 以 使 用 镜像 来 快 
速 构建 一 套 标 准 的 开发 环境 ; 开发 完成 之 后 ， 测 试 和 运 维 人 员 可 以 直 
接 使 用 完全 相同 环境 来 部 署 代 码 。 只 要 开发 测试 过 的 代码 ， 就 可 以 确 
保 在 生产 环境 无 颖 运行 。Docker 可 以 快速 创建 和 删除 容器 ， 实 现 快速 
适 代 ， 大 量 世 约 开 有 发、 测试 、 部 署 的 时 间 。 并 且 ， 整 个 过 程 全 程 可 
见 ， 使 团队 更 容易 理解 应 用 的 创建 和 工作 过 程 。 


更 高 效 的 资源 利用 。Docker 容 器 的 运行 不 需要 额外 的 虚拟 化 管理 
程序 (Virtual Machine Manager，VMM， 以 及 Hypervisor) 支持 ， 它 是 
内 核 级 的 虚拟 化 ， 可 以 实现 更 高 的 性 能 ， 同 时 对 资源 的 额外 需求 很 
低 。 跟 传统 虚拟 机 方式 相 比 ， 要 提高 一 到 两 个 数量 级 。 


更 轻松 的 迁移 和 扩展 。Docker 容 絮 儿 乎 可 以 在 任意 的 平台 上 运 
ÍT, 包括 物理 机 、 虚 拟 机 、 公 有 云 、 私 有 云 、 个 人 电脑 、 服 务 絮 等 ， 
同时 支持 主流 的 操作 系统 发 行 版 本 。 这 种 兼容 性 让 用 户 可 以 在 不 同 平 
台 之 间 轻 松 地 迁移 应 用 。 


.更 简单 的 更 新 管理 。 使 用 Dockerfile， 只 需要 小 小 的 配置 修改 ， 就 
可 以 替代 以 往 大 量 的 更 新 工作 。 并 且 所 有 修改 都 以 增 量 的 方式 被 分 发 
和 更 新 ， 从 而 实现 自动 化 并 且 高 效 的 容器 管理 。 


3.Docker 与 虚拟 机 比较 


作为 一 种 轻 量 级 的 虚拟 化 方式 ，Docker 在 运行 应 用 上 与 传统 的 虚 
拟 机 方式 相 比 具 有 显著 优势 : 


.Docker 容 器 很 快 ， 启 动 和 停止 可 以 在 秒 级 实现 ， 而 传统 的 虚拟 机 
方式 需要 数 分 钟 。 


.Docker 容 器 对 系统 资源 需求 很 少 ， 一 台 主 机 上 可 以 同时 运行 数 千 
个 Docker 容 器 (在 IBM 服 务 器 上 已 经 实现 了 同时 运行 10K 量 级 的 容器 实 


人 网) z 


-Docker 通 过 类 似 Git 设 计 理念 的 操作 来 方便 用 户 获 取 、 分 发 和 更 新 
应 用 镜像 ， 存 储 复 用 ， 增 量 更 新 。 


:Docker 通 过 Dockerfile 支 持 灵活 的 自动 化 创建 和 部 署 机 制 ， 提 高 工 
作 效 率 ， 使 流程 标准 化 。 


Docker 容 如 除了 运行 其 中 应 用 外 ， 基 本 不 消耗 额外 的 系统 资源 ， 
保证 应 用 性 能 的 同时 ， 尽 量 减 小 系统 开销 。 传 统 虚拟 机 方式 运行 N 个 不 
同 的 应 用 避 ® 要 起 N 个 虚拟 机 〈 每 个 虚拟 机 需要 单独 分 配 独占 的 内 存 、 磁 
盘 等 资源 ) ， 而 Docker 只 需要 启动 N 个 隔离 的 “很 薄 的 ”容器 ， 并 将 应 用 
放 进 容 右 内 即 可 。 应 用 获得 的 是 接近 原生 的 运行 性 能 。 


当然 ， 在 隔离 性 方面 ， 传 统 的 虚拟 机 方式 提供 的 是 相对 封闭 的 隔 
离 。 但 这 并 不 意味 着 Docker 束 不 安全 ，Docker 利 用 Linux 系 统 上 的 多 种 
防护 技术 实现 了 严格 的 隔离 可 靠 性 ， 并 且 可 以 整合 众多 安全 工具 。 从 
1.3.0 版 本 开始 ，Docker 重 点 改善 了 容器 的 安全 控制 和 镜像 的 安全 机 
制 ， 极 大 提高 了 使 用 Docker 的 安全 性 。 在 已 知 的 大 规模 应 用 中 ， 目 前 
尚未 出 现 值得 担忧 的 安全 隐患 。 


表 1-1 忌 结 了 使 用 Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 ， 
可 见 容 套 技 术 在 很 多 应 用 场景 下 都 具有 巨大 的 优势 。 


表 1-1 Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 
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1.3 ”Docker 与 虚拟 化 


虚拟 化 (Virtualization) 技术 是 一 个 通用 的 概念 ， 在 不 同 领域 有 不 
同 的 理解 。 在 计算 领域 ， 一 般 指 的 是 计算 虚拟 化 (Computing 
Virtualization) ， 或 通常 说 的 服务 器 虚拟 化 。 维 基 百 科 上 的 定义 如 
下 : “虚拟 化 古 一 种 资源 管理 技术 ， 是 将 计算 机 的 各 种 实体 资源 ， 如 服 
务 器 、 网 络 、 内 存 及 存储 等 ， 予 以 抽象 、 转 换 后 呈现 出 来 ， 打 破 实 体 
结构 则 的 不 可 切割 的 障碍 ， 使 用 户 可 以 比 原本 的 组 态 更 好 的 方式 来 应 


用 这 些 资源 。” 


可 见 ， 虚 拟 化 的 核心 是 对 资源 的 抽象 ， 目 标 往往 是 为 了 在 同一 个 
主机 上 同时 运行 多 个 系统 或 应 用 ， 从 而 提高 系统 资源 的 利用 率 ， 并 且 
带 来 降低 成 本 、 方 便 管 理 和 容错 容 灾 等 好 处 。 


从 大 类 上 分 ， 虚 拟 化 技术 可 分 为 基于 硬件 的 虚拟 化 和 基于 软件 的 
虚拟 化 。 其 中 ， 真 正 意义 上 的 基于 硬件 的 虚拟 化 技术 不 多 见 ， 少 数 如 
网 卡 中 的 单 根 多 IO 虚拟 化 (Single Root IO Virtualization and Sharing 
Specification, SR-IOV) 等 技术 ， 也 超出 了 本 书 的 讨论 范畴 。 


基于 软件 的 虚拟 化 从 对 象 所 在 的 层次 ， 又 可 以 分 为 应 用 虚拟 化 和 
平台 虚拟 化 〈 通 常 说 的 虚拟 机 技术 即 属于 这 个 范畴 ) 。 其 中 ， 前 者 一 


般 指 的 是 一 些 模拟 设备 或 诸如 Wine 这 样 的 软件 。 后 者 又 可 以 细 分 为 如 
PUTTAR: 
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过 程 ， 客 户 操作 系统 无 需 进行 修改 。 例 如 IBM p 和 z 系 列 的 虚拟 化 、 
VMware Workstation、VirtualBox、QEMU 等 。 


-硬件 辅助 虚拟 化 。 利 用 硬件 〈 主 要 是 CPU) 辅助 文 持 (目前 x86 体 
系 结构 上 可 用 的 硬件 辅助 虚拟 化 技术 包括 Intel-VT 和 AMD-V) 处 理 敏 
感 指令 来 实现 完全 虚拟 化 的 功能 ， 客 户 操 作 系 统 无 需 修改 ， 例 如 
VMware Workstation ^ Xen ^ KVM ? 


-部 分 虚拟 化 。 只 针对 部 分 硬件 资源 进行 虚拟 化 ， 客 户 操作 系统 需 
要 进行 修改 。 现 在 有 些 虚 拟 化 技术 的 早期 版 本 仅 文 持 部 分 虚拟 化 。 


准 虚 拟 化 (paravirtualization) 。 部 分 硬件 接口 以 软件 的 形式 提供 
给 客户 机 操作 系统 ， 客 户 操 作 系 统 需要 进行 修改 ， 例 如 早期 的 Xen。 


-操作 系统 级 虚拟 化 。 内 核 通过 创建 多 个 虚拟 的 操作 系统 实例 (内 
核 和 库 ) 来 隔离 不 同 的 进程 。 容 器 相关 技术 即 在 这 个 范畴 。 


可 见 ，Docker 以 及 其 他 容 需 技术 ， 都 属于 操作 系统 虚拟 化 这 个 苑 
畴 ， 操 作 系统 虚拟 化 最 大 的 特点 就 是 不 需要 额外 的 supervisor 文 持 。 


Docker 虚 拟 化 方式 之 所 以 有 众多 优势 ， 这 与 操作 系统 虚拟 化 技术 
自身 的 设计 和 实现 是 分 不 开 的 。 


图 1-2 比 较 了 Docker 和 和 常见 的 虚拟 化 方式 的 不 同 之 处 。 


应 用 程序 应 用 程序 
运行 时 环境 ”运行 时 环境 应 用 程序 ipaum 
虚拟 机 操作 系统 虚拟 机 操作 系统 运行 时 环境 运行 时 环境 


虚拟 机 管理 程序 Docker Aii X35 
宿主 机 操作 系统 宿主 机 操作 系统 
硬件 层 硬件 层 


a) 传统 的 虚拟 化 方式 b) Docker 虚拟 化 方式 


图 1-2 ”Docker 和 传统 的 虚拟 化 方式 的 不 同 之 处 


传统 方式 是 在 硬件 层面 实现 虚拟 化 ， 需 要 有 额外 的 虚拟 机 管理 应 
用 和 虚拟 机 操作 系统 层 。Docker 容 器 是 在 操作 系统 层面 上 实现 虚拟 
化 ， 直 接 复 用 本 地 主机 的 操作 系统 ， 因 此 更 加 轻 量 级 。 


1.4 本 章 小 结 


本 章 介 绍 了 容器 虚拟 化 的 基本 概念 、Docker 的 诞生 及 发 展 历 史 ， 
以 及 容器 在 云 时 代 应 用 分 发 场景 下 的 巨大 优势 。 


与 传统 的 虚拟 机 相 比 ， 容 器 虚拟 化 方式 在 很 多 场景 下 都 有 极为 明 
显 的 优势 。 无 论 是 系统 管理 员 、 应 用 开发 人 员 、 测 试 人 员 以 及 运 维 管 
理 人 员 ， 都 应 该 尽快 掌握 Docker， 尽 早 享 受 其 带 来 的 巨大 便利 。 


后 续 章 记 ， 笔 者 将 结合 实践 案例 具体 介绍 Docker 的 安 痛 、 使 用 ， 


让 我 们 一 起 开局 精彩 的 Docker 之 旅 。 


第 2 草 ”核心 概念 与 安装 配置 
本 章 首先 介绍 Docker 的 三 大 核心 概念 。 
镜像 (Image) 


ZA Be 


:容器 (Container) 
.仓库 (Repository) 


只 有 理解 了 这 三 个 核心 概念 ， 才 能 顺利 地 理解 Docker 容 器 的 整个 


随后 ， 笔 者 将 介绍 如 何在 常见 的 操作 系统 平台 上 安 狠 Docker， 包 


括 Ubuntu、CentOS、MacOS 和 Windows 等 主流 操作 系统 平台 。 


2.1 核心 概念 


Docker 的 大 部 分 操作 都 围绕 着 它 的 三 大 核心 概念 一 一 镜像 、 容 如 
和 仓库 而 展开 。 因 此 ， 准 确 把 握 这 三 大 核心 概念 对 于 掌握 Docker 技 术 
尤为 重要 。 


1.Docker 镜 像 


Docker 镜 像 类 似 于 虚拟 机 镜像 ， 可 以 将 它 理 解 为 一 个 只 读 的 模 
板 。 例 如 ， 一 个 镜像 可 以 包含 一 个 基本 的 操作 系统 环境 ， 里 面 仅 安装 
了 Apache 应 用 程序 〈 或 用 户 需 要 的 其 他 软件 ) 。 可 以 把 它 称 为 一 个 
Apache 镜 像 。 


镜像 是 创建 Docker 容 恬 的 基础 。 通 过 版 本 管理 和 增 量 的 文件 系 
统 ，Docker 提 供 了 一 套 十 分 简单 的 机 制 来 创建 和 更 新 现 有 的 镜像 ， 用 
户 甚至 可 以 从 网 上 下 载 一 个 已 经 做 好 的 应 用 镜像 ， 并 直接 使 用 。 


| 


2.Docker£is& 
Docker 容 器 类 似 于 一 个 轻 量 级 的 沙 箱 ，Docker 利 用 容 絮 来 运行 和 隔 


离 应 用 。 容 器 是 从 镜像 创建 的 应 用 运行 实例 。 可 以 将 其 局 动 、 开 始 、 
停止 、 删 除 ， 而 这 些 容器 都 是 彼此 相互 隔离 的 、 互 不 可 见 的 。 


可 以 把 容器 看 做 是 一 个 简易 版 的 Linux 系 统 环境 (包括 root 用 户 权 
限 、 进 程 空 间 、 用 户 空间 和 网 络 空 间 等 ) 以 及 运行 在 其 中 的 应 用 程序 
打包 而 成 的 盒子 。 


Qus 


BERE B 


是 只 读 的 。 容 器 从 镜像 启动 的 时 候 ， 会 在 镜像 的 最 上 层 
创建 一 个 可 写 层 。 
3.Docker 仓 库 


Docker 仓 库 类 似 于 代码 仓库 ， 它 是 Docker 集 中 存放 镜像 文件 的 场 
所 。 


有 了 时候 会 看 到 有 资料 将 Docker 仓 库 和 仓库 注册 服务 器 (Registry) 
混为一谈 ， 并 不 严格 区 分 。 实 际 上 ， 仓 库 注 册 服 务 器 古 存 放 仓 库 的 地 
方 ， 其 上 往往 存放 着 多 个 仓库 。 每 个 仓库 集中 存放 某 一 类 镜像 ， 往 往 
包括 多 个 镜像 文件 ， 通 过 不 同 的 标签 (tag) 来 进行 区 分 。 例 如 存放 
Ubuntu 操作 系统 镜像 的 仓库 称 为 Ubuntu 仓库 ， 其 中 可 能 包括 14.04、 
12.04 等 不 同 版 本 的 镜像 。 仓 库 注 册 服 务 需 的 示例 如 图 2-1 所 示 。 


Ubuntu 仓库 CentOS 仓库 


注册 服务 天 


图 2-1 注册 服务 占 与 仓库 


根据 所 存储 的 镜像 公开 分 享 与 否 ，Docker 仓 库 可 以 分 为 公开 仓库 
(Public) 和 私有 仓库 (Private) 两 种 形式 。 目 前 ， 最 大 的 公开 仓库 是 
官方 提供 的 Docker Hub， 其 中 存放 了 数量 庞大 的 镜像 供用 户 下 载 。 
内 不 少 云 服务 提供 商 (如 时 速 云 、 阿 里 云 等 ) 也 提供 了 仓库 的 本 地 
源 ， 可 以 提供 稳定 的 国内 访问 。 


当然 ， 用 户 如 果 不 希 望 公开 分 享 自己 的 镜像 文件 ，Docker 也 支持 
用 户 在 本 地 网 络 内 创建 一 个 只 能 自己 访问 的 私有 仓库 。 当 用 户 创建 了 
自己 的 镜像 之 后 就 可 以 使 用 push 命 令 将 它 上 传 到 指定 的 公有 或 者 私有 
仓库 。 这 样 用 户 下 次 在 另外 一 台 机 器 上 使 用 该 镜像 时 ， 只 需要 将 其 从 
仓库 上 pull 下 来 就 可 以 了 。 


Oaz 


可 以 看 出 ，Docker 利 用 仓库 管理 镜像 的 设计 理念 与 Git 非 常 相似 ， 
实际 上 在 理念 设计 上 借鉴 了 Git 的 很 多 优秀 思想 。 


2.2 ”安装 Docker 


Docker 在 主流 的 操作 系统 和 云 平 台 上 都 可 以 使 用 ， 包 括 Linux 操 作 
系统 〈 如 Ubuntu、Debian ` CentOS ` Redhat) 、MacOS 操 作 系统 和 
Windows 操 作 系统 ， 以 及 AWS 等 云 平台 。 


用 户 可 以 访问 Docker 官 网 的 Get Docker 
(https://www.docker.com/products/overview) 页 面 ， 查 看 获取 Docker 的 
方式 ， 以 及 Docker 文 持 的 平台 类 型 ， 如 图 2-2 所 示 。 


GET DOCKER 


Docker provides en Integrated technology sute that ensbles development and IT cperstions 
tearrs to bulki, ship, and run distrituted applications anyw^ere. 


DOCKER PLATFORM DOCKER FUB DOCKER CLOLD DOCKER DATACENTER 


INSTALL THE PLATFORM 


Install Docker with easy to use Installers for the major dasctop and cloud 
platos. 


i €, MAC OC) WINDOWS ^, LINUX 
\ I ri 
^ — &aive Mac application with a user iz ] A native Windows application with a M Install Docke- on nodes which have a 
interface and auto-update capabliitias, user Interface ard auto-update linux distribution already Installed. 
that [s deeply integratec with OS X cn»ahilities, that [s daepy Integrated 
native virtualization. wih Windows native virtualization. 
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^ AWS 公 AZURE OTHERS 
Quickly deploy, scale, and manage , Quickly dep.ow, scale and marage For platforms without a Docker Installer, 
Diacter on AAS Parker fer AVIS takas Necker on Azure. fincker for Arure takes maslly setup Darker using Decker 
optimal advantage of the underlying optimal acvantage cf the underying Machine. 


图 2-2 Docker 


在 Get Docker 页 面 ， 我 们 可 以 看 到 目前 Docker 支 持 Docker 
Platform ` Docker Hub ` Docker Cloud 和 Docker DataCenter ° 


-Docker Platform: 支持 在 昌 面 系统 或 云 平 台 安 装 Docker; 


:DockerHub: 官方 提供 的 云 托管 服务 ， 可 以 提供 公有 或 私有 的 镜 


.DockerCloud: 官方 提供 的 容器 云 服务 ， 可 以 完成 容器 的 部 署 与 管 
理 ， 可 以 完整 地 支持 容器 化 项 目 ， 还 有 CI 、CD 功 能 ， 


-Docker DataCenter: 提供 企业 级 的 简单 安全 弹性 的 容器 集群 编排 


笔者 推荐 尽量 使 用 Linux 近 作 系 统 来 运行 Docker， 因 为 目前 Linux 操 
作 系 统 对 Docker 的 支持 是 原生 的 ， 使 用 体验 最 好 。 


2.2.1 Ubuntu 环境 下 安装 Docker 


1. 系 统 要 求 


Docker 目 前 只 能 运行 在 64 位 平台 上 ， 并 且 要 求 内 核 版 本 不 低 于 
3.10， 实 际 上 内 核 越 新 越 好 ， 过 低 的 内 核 版 本 容易 造成 功能 不 稳定 。 


用 户 可 以 通过 如 下 命令 检查 自己 的 内 核 版 本 详细 信息 : 


$ uname -a 
Linux Host 3.16.0-43-generic #58~14.04.1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 


2015 x86 64 x86 64 x86 64 GNU/Linux 


或 者 : 


$ cat /proc/version 
Linux version 3.16.0-43-generic (builddQbrownie) (gcc version 4.8.2 (Ubuntu 


4.8.2-19ubuntu1) ) £58-14.04.1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 2015 


Docker 目 前 文 持 的 最 低 Ubuntu 版 本 为 12.04 LTS， 但 实际 上 从 稳定 


性 上 考虑 ， 推 荐 至 少 使 用 14.04 LTS 版 本 。 


如 果 使 用 12.04 LITS 版 本 ， 首 先 要 更 新 系统 内 核 和 安装 可 能 需要 的 


PFE e: 
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Jinux-image-generic-Its-trusty ( 必 备 ) 
linux-headers-generic-lts-trusty ( 必 备 ) 
xserver-xorg-lts-trusty ( 带 图 形 界面 时 必 备 ) 
libgli-mesa-glx-Its-trusty ( 带 图 形 界 面 时 必 备 ) 


另外 ， 为 了 让 Docker 使 用 aufs 存 储 ， 推 荐 安装 linux-image-extra 软 件 


$ sudo apt-get install -y linux-image-extra-$(uname -r) 


Qus 


Ubuntu 发 行 版 中 ，LTS (Long-Term-Support) 意味 着 更 稳定 的 功能 
和 更 长 期 (目前 为 5 年 ) 的 升级 支持 ， 生 产 环境 中 尽量 使 用 LTS 版 本 。 


2. 添 加 镜像 源 
首先 需要 安装 apt-transport-https 包 支持 HTTPS 协 议 的 源 : 


$ sudo apt-get install -y apt-transport-https 


添加 源 的 gpg 密 铀 : 


$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 
58118E89F3A912897C070ADBF76221572C52609D 


获取 当前 操作 系统 的 代号 : 


$ lsb release -c 
Codename: trusty 


一 般 情 况 下 ，12.04 (LTS) 代号 为 precise，14.04 (LTS) 代号 为 
trusty，15.04 代 号 为 vivid，15.10 代 号 为 wily。 这 里 获取 的 代号 为 


trusty ° 


de Pow] ADockerh] E Z;aptX EUR f» aBixx P Bd e Gl 
建 /etc/apt/sources.list.d/docker.list 文 件 ， 并 写 入 源 的 地 址 内 容 。 非 trusty 


版 本 的 系统 注意 修改 为 目 己 对 应 的 代号: 


$ sudo cat ««EOF > /etc/apt/sources.list.d/docker.list 
deb https://apt.dockerproject.org/repo ubuntu-trusty main 
EOF 


添加 成 功 后 ， 更 新 apt 软 件 包 缓存 : 


$ sudo apt-get update 


3. 开 始 安装 Docker 


在 成 功 添加 源 之 后 ， 避 ® 可 以 安装 最 新 版 本 的 Docker 了， 软件 包 名 


称 为 docker-engine: 


$ sudo apt-get install -y docker-engine 


如 果 系 统 中 存在 较 旧 版 本 的 Docker (Ixc-docker) ， 会 提示 是 否 先 
删除 ， 选 择 “ 是 > 即 可 。 


除了 基于 手动 添加 软件 源 的 方式 ， 也 可 以 使 用 官方 提供 的 脚本 来 
自动 化 安装 Docker: 


$ sudo curl -SSL https://get.docker.com/ | sh 


安装 成 功 后 ， 启 动 docker 服 务 : 


$ sudo service docker start 


2.2.2 CentOS 环境 下 安装 Docker 


系统 的 要 求 与 Ubuntu 情况 下 类 似 : 64 位 操作 系统 ， 内 核 版 本 至 少 
233.10 ° 


Docker 目 前 支持 CentOS 6.5 及 以 后 的 版 本 ， 推 荐 使 用 CentOS 7 系 


GS 
ci 
[e] 


目 完 ， 也 是 要 添加 yum 软 件 源 : 


$ sudo tee /etc/yum.repos.d/docker.repo ««-'EOF' 

[dockerrepo] 

name-Docker Repository 
baseurl-https://yum.dockerproject.org/repo/main/centos/$releasever/ 
enabled-1 

gpgcheck-1 

gpgkey-https://yum.dockerproject.org/gpg 

EOF 


之 后 更 新 yum 软 件 源 缓存 ， 并 安装 docker-engine: 


$ sudo yum update 
$ sudo yum install -y docker-engine 


对 于 CentOS 7 系统 ，CentOS-Extras 源 中 己 内 置 Docker， 如 果 已 经 
配置 了 CentOS-Extras 源 ， 可 以 直接 通过 上 面 的 yum 命 令 进 行 安装 。 


2.2.3 ”通过 脚本 安装 


用 户 还 可 以 使 用 官方 提供 的 shell 脚 本 来 在 Linux 系 统 (目前 支持 
Ubuntu ` Debian ` Oracleserver ` Fedora、Centos、OpenSuse、Gentoo 等 
常见 发 行 版 ) 上 安装 Docker 的 最 新 正式 版 本 ， 该 脚本 会 自动 检测 系统 
信息 并 进行 相应 配置 : 


$ curl -fsSL https://get.docker.com/ | sh 


$ wget -qO- https://get.docker.com/ | sh 


如 有 果 想 答 鲜 使 用 最 新 功能 ， 可 以 使 用 下 面 的 脚本 来 安装 预 发 布 版 
本 。 但 要 注意 ， 预 发 布 版 本 往往 意味 着 功能 还 不 够 稳定 ， 不 要 在 生产 
环境 中 使 用 : 


$ curl -fsSL https://test.docker.com/ | sh 


另外 ， 也 可 以 从 github.comy/dockerdockerreleases 找 到 所 有 的 发 行 
版 本 信息 和 二 进 制 包 ， 目 行 下 载 使 用 。 


2.2.4 Mac OS 环境 下 安装 Docker 


Docker 官 方 非常 重视 Docker 在 Mac 环 境 下 的 易 用 性 。 目 前 Docker 支 
持原 生 Mac 客 户 端 ， 内 置 图 形 界面 ， 支 持 自 动 升级 。 此 客户 并 与 Mac 


OS X 的 原生 虚拟 化 深度 结合 ， 据 弃 了 之 前 安装 VirtualBox 〈 即 Docker 
Toolbox) 的 简单 粗暴 的 做 法 。 我 们 先 从 官方 默认 的 Docker for Mac 开 


始 。 
1.Docker for Mac 


第 一 步 ， 下 载 安装 包 。 访 问 https:/docs.docker.comy/docker-for-mac/ 
下 载 页 面 。 目 前 Docker for Mac 分 为 稳定 版 和 Beta 版 两 种 更 新 通道 ， 我 
们 可 以 按 需 选择 。 下 载 完 成 后 ， 双 击 安 装 包 ， 如 图 2-3 所 示 。 
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图 2-3 下载 后 打开 安装 包 


第 二 步 ， 开 始 安装 。 将 Dockerapp 拖 暇 至 Applications 文 件 夹 ， 即 可 
完成 安装 ， 如 图 2-4 所 示 。 


图 2-4 安装 Docker 到 Applications 文 件 夹 


第 三 步 ， 运 行 Docker for Mac。 在 欢迎 窗口 点 击 *Next”， 如 图 2-5 所 


Welcome to Docker for Mac Beta! 
We are whaly happy to have you. 


图 2-5 “欢迎 窗口 


允许 Docker 获 得 系统 权限 ， 它 需要 将 Mac 网 卡 链接 至 Docker app。 
点 击 “OK” 后 输入 系统 管理 员 密 码 ， 如 图 2-6 所 示 。 


Docker needs privileged access. 


Docker for Mac needs privileged access to install its networking 
components and links to the Docker apps. 


You will be asked for your password. 
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图 2-6 3izffDocker for Mac 


此 时 系统 状态 栏 会 出 现 Docker 的 Icon 图 标 ， 点 击 后 如 果 出 
现 *Docker is running! ”， 则 说 明 安 装 成 功 。 


第 四 步 ， 验 证 Docker 安 装 。 打 开 终 端 控 制 右 或 其 他 系统 命令 行 ， 
执行 docker version 命 令 


$ docker version 


Client: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amde64 
Server: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: linux/amd64 


如 果 我 们 看 到 Client 和 Server 均 有 输出 ， 则 说 明 Docker for Mac 已 经 
正常 启动 。 如 果 我 们 看 到 报错 : “Cannot connect to the Docker daemon.Is 


the docker daemon running on this host? ”， 则 说 明 Docker for Mac 没 有 启 
动 或 启动 失败 。 


下 面 局 动 一 个 Nginx 容 全 ， 检 查 能 正确 获取 镜像 并 运行 


$ docker run -d -p 80:80 --name webserver nginx 

Unable to find image 'nginx:latest' locally 

latest: Pulling from library/nginx 

51f5c6a04d83: Pull complete 

a3ed95caeb02: Pull complete 

51d229e136d0: Pull complete 

bcd41daec8cc: Pull complete 

Digest: 
sha256:0fe6413f3e30fcc5920bc8fa769280975b10b1c26721de956e1428b9e2f29d04 
Status: Downloaded newer image for nginx:latest 
34bcd01998a76f67b1b9e6abe5b7db5e685af325d6fafb1acd0ce84e81e71e5d 


然后 使 用 docker pti S EE 24 BID 4TH Gris: 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

34bcd01998a7 nginx "nginx -g 'daemon off" 2 minutes ago 
Up 2 minutes 0.0.0.0:80-280/tcp, 443/tcp webserver 


可 见 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 口 ， 下 面 我 
们 打开 浏览 器 访问 此 地 址 ， 如 图 2-7 所 示 。 


第 五 步 ， 第 用 配置 设 定 。 首 先 ， 点 击 系统 状态 栏 的 Docker 图 标 ， 
会 出 现 操作 有 末 单 ， 如 图 2-8 所 示 。 


€ > Œ 10000 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


图 2-7 人 允许 访问 系统 权限 
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9$ Docker is running restart 


About Docker 
Check for Updates... 


Preferences... 


Documentation 
Diagnose & Feedback... 
Open Kitematic 


Quit Docker 


图 2-8 Docker % 


然后 ， 点 击 Preferences， 进 入 标准 配置 页 面 ， 我 们 可 以 设置 是 否 目 
动 启动 与 更 新 ， 设 置 备份 工具 Time Machine 是 否 备 份 VM， 还 可 以 配置 
Docker 使 用 的 CPU 数 、 内 存 容量 ， 如 图 2-9 所 示 。 


点 击 进 入 Advanced 进 阶 配 置 。 为 了 更 好 地 使 用 Docker Hub， 我 们 
可 以 使 用 Registry 镜 像 站 点 进行 加 速 。 点 击 + 后 ， 加 入 镜像 站 点 配置 。 


这 里 还 可 以 配置 HTTP 代 理 服务 器 ， 如 图 2-10 所 示 。 


点 击 进 入 File Sharing 标 签 页 ， 此 处 可 以 配置 挂 载 至 容器 中 的 本 地 
目录 。 点 击 + 后 可 以 继续 添加 本 地 目录 ， 如 图 2-11 所 示 。 


图 2-9 ”标准 配置 页 面 


图 2-10 ”高 级 配置 页 面 


扩 击 进入 Privacy 标 签 页 ， 此 处 可 以 配置 隐私 选项 ， 如 是 否 发 送 使 
用 信息 ， 以 及 是 否 发 送 程 序 崩 演 报 告 ， 如 图 2-12 所 示 。 


图 2-11 文件 分 享 配 置 页 面 


Privacy 


sr ao e 


General Advanced File Sharing Privacy Uninstall / Reset 


Help improve Docker for Mac! 


(V) Send usage information 
Send system version and language as well as Docker 
app lifecycle information (e.g., starts, stops, resets) 
[V] Send crash reports 


Auto-send crash reports. Docker may prompt for 
more information about a crash even if this is 
checked. 


Note: Docker always sends minimal ping with version 


information. 
6 Docker is running 
图 2-12 ”隐私 配 置 页 面 
2.Docker Toolbox 


在 Mac OS X 操 作 系 统 上 安装 Docker， 除 了 Docker for Mac 的 原生 方 
式 之 外 ， 还 可 以 使 用 官方 提供 的 Docker ToolBox 工 具 。 


首先 前 往 https://www.docker.com/products/docker-toolbox 下 载 对 应 版 
本 的 ToolBox。 目 前 Docker 支 持 的 Mac OS X 版 本 为 10.6+。 如 图 2-13 所 
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图 2-13 ”ToolBox 安 装 页 面 


双击 运行 安装 包 。 这 个 过 程 将 安装 一 个 VirtualBox 虚 拟 机 ， 内 置 了 
Docker Engine、Compose、Machine、Kitematic 等 管理 工具 。 安 装 成 功 


后 ， 找 到 Boot2Docker 并 运行 它 。 如 图 2-14 所 示 。 


Welcome to the Boot2Docker for Mac OS X Installer 


—— Boot2Docker for Mac OS X 


6 Destination Select This i — SERE ; A 
@ Installation Type Mac OS X v1.2.0. Soot2Dookur 


The docker and boot2docker binaries will be installed to /usr/ 


Ilati 
e Installation 1ocal/bin, and can then be run from your Terminal. 


© Summary For further information, please see the Docker OS X installation 


To continue, click Continue. 


[2-14  Boot2Docker Di Hi 
现在 进行 Boot2Docker 的 初始 化 : 


$ boot2docker init 
$ boot2docker start 
$ $(boot2docker shellinit) 


将 看 到 虚拟 机 在 命令 行 窗 口中 启动 运行 。 当 虚拟 机 初始 化 完毕 
后 ， 可 以 使 用 boot2docker stop 和 boot2docker start 来 控制 它 。 


注意 ， 如 有 果 在 命令 行 中 看 到 如 下 提示 信息 : 


To connect the Docker client to the Docker daemon, please set: export DOCKER_ 
HOST-tcp://192.168.59.103:2375 


可 以 执行 提示 信息 中 的 语句 : export 
DOCKER_HOST=tcp://192.168.59.103: 2375。 此 语句 的 作用 是 在 系统 
环境 变量 中 设置 Docker 的 主机 地 址 。 


2.2.5 ”Windows 环 境 下 安装 Docker 


目前 Docker 可 以 通过 虚拟 机 方式 来 文 持 Windows 7.1 和 8， 只 要 平台 
CPU 文 持 硬件 虚拟 化 特性 即 可 。 如 采 无 法 确定 目 己 计算 机 的 CPU 有 是否 
文 持 该 特性 也 无 需 担心 ， 实 际 上 ， 目 前 市 面 上 主流 的 CPU 都 早已 文 持 
了 硬件 虚拟 化 特性 。 


对 于 Windows 10 用 户 ，Docker 官 方 提供 了 原生 虚拟 化 应 用 Docker 
for Windows。 详 情 见 : https:/docs.docker.com/windows/step_one/。 目 前 
国内 Windows 7 还 是 主导 地 位 的 版 本 ， 所 以 下 面 主要 讲解 如 何在 
Windows 7 环境 下 安装 Docker 环 境 。 


由 于 Docker 引 擎 使 用 了 Linux 内 核 特 性 ， 所 以 如 果 要 在 Windows 10 
之 外 的 Windows 上 运行 ， 需 要 额外 使 用 一 个 虚拟 机 来 提供 Linux 文 持 。 
这 里 推荐 使 用 Boot2Docker 工 具 ， 它 会 首先 安装 一 个 经 过 加 工 与 配置 的 
轻 量 级 虚拟 机 ， 然 后 在 其 中 运行 Docker。 主 要 步 又 如 下 : 


首先 ， 从 https://docs.docker.com/installation/windows/ 下 载 最 新 官方 
Docker for Windows Installer ° 双击 打开 Installer。 这 个 过 程 将 安装 
VirtualBox、MSYS-git、boot2docker Linux ISO 镜像 ， 以 及 Boot2Docker 
管理 工具 。 如 图 2-15 所 示 。 


Welcome to the Docker for 
Windows Setup Wizard 


This will install Docker for Windows version 0.9 on your 
computer, 


Itis recommended that you dose all other applications before 


continuing. 


Click Next to continue, or Cancel to exit Setup. 


[2-15 Docker for Windows Installer 


最 后 ， 打 开 桌 面 的 Boot2Docker Start 程 序 ， 或 者 Program 
Files\Boot2Docker for Windows。 此 初始 化 脚本 在 第 一 次 运行 时 需要 输 
入 一 个 SSH Key Passphrase 〈 用 于 SSH 密 钥 生 成 的 口令 ) 。 读 者 可 以 自 
行 设 定 ， 也 可 以 直接 按 回 车 键 跳 过 此 设 定 。 如 图 2-16 所 示 “。 


12014/05/27 22:28:05 Started. 

3000€ 82014/05/27 22:28:05 Docker client does not run on Windows for 
282014/05/27 22:28:05 c:\Program FilesXDocker for Windows\bo 

IB2014/05/27 22:28:05 to SSH into the VM instead. 

connecting... 

2014/05/27 22:28:06 executing: C:\Program FilesNOracleWMirtual 

lker-vm --machinereadable 

2014/05/27 22:28:06 executing: ssh -o StrictHostKeyChecking-no 

122 -i c: MisersMSven DaeideitA sch Mid hoocadocker docker&localh 

arning: Permanently added '[localhost]:2022' (RSA) to the list 

L2 : 


JHEOGE HE 


| 
a VEEN | 
x e 
As A 


Cea 


boot2docker: 0.9.1 
master : cle798c - Thu May 15 02:57:13 UTC 2014 
idocker&boot2docker :~$ 


图 2-16 ”Boot2Docker 安 装 器 


此 时 Boot2Docker Start 程 序 将 连接 至 虚拟 机 中 的 Shell 会 话 ，Docker 
已 经 运行 起 来 了 ! 


2.3 配置 Docker 服 务 


为 了 避免 每 次 使 用 docker 命 令 都 要 用 特权 吴 份 ， 可 以 将 当前 用 户 
加 入 安装 中 自动 创建 的 docker 用 户 组 : 


$ sudo usermod -aG docker USER NAME 


用 户 更 新 组 信息 后 ， 退 出 并 重新 登录 后 即 可 生效 。 


另外 ，Docker 服 务 文 持 多 种 启动 参数 。 以 Ubuntu 14.04 系 统 为 例 ， 
Docker 服 务 的 默认 配置 文件 为 /etc/default/docker， 可 以 通过 修改 其 中 的 
DOCKER_OPTS 来 修改 服务 启动 的 参数 ， 例 如 ， 下 一 行 代 码 让 Docker 
服务 可 以 通过 本 地 2375 端 口 接收 来 自 外 部 的 请 求 : 


DOCKER_OPTS="$DOCKER_OPTS -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 


修改 之 后 ， 通 过 service 命 令 来 重启 Docker 服 务 : 


$ sudo service docker restart 


一 般 情况 下 ，Docker 服 务 的 管理 脚本 为 /etc/init.d/docker， 通 过 查 
看 其 中 的 内 容 ， 发 现 主要 是 将 Docker 进 程 的 id 写 入 /var/run/docker.pid 文 
件 ， 以 及 通过 ulimit 调 整 系统 的 资源 限制 。 


如 果 是 通过 较 新 的 upstart 工 具 来 管理 服务 ， 则 管理 服务 配置 文件 


TE/etc/init/docker.conf ° 


另外 ， 对 于 CentOS、Redhat 等 系统 ， 服 务 可 能 是 通过 systemd 来 管 
理 ， 与 此 略 有 不 同 ， 可 以 查阅 systemd 相 关 手 册 。 


例如 ， 需 要 通过 systemct 命 令 来 管理 Docker 服 务 : 


$ sudo systemctl start docker.service 


此 外 ， 如 果 服 务工 作 不 正常 ， 可 以 通过 查看 Docker 服 务 的 日 志 信 
息 来 确定 问题 ， 例 如 在 Ubuntu 系 统 上 日 志文 件 可 能 
为 /Var/log/upstart/docker.log: 


$ sudo tail /var/log/upstart/docker.1og 


每 次 重启 Docker 服 务 后 ， 可 以 通过 查看 Docker 版 本 人 信息， 确保 服 


务 已 经 正常 运行 : 


$ docker version 


Client: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amde64 
Server: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 


OS/Arch: linux/amd64 


2.4 ”推荐 实践 环境 


从 稳定 性 上 考虑 ， 本 书 推荐 的 实践 环境 的 操作 系统 是 Ubuntu 
14.04.3 LITS 系 统 ， 带 有 linux-image-3.16.0-71-generic 内 核 。Docker 版 本 
为 最 新 的 1.12 稳 定 版 本 。 不 同 版 本 的 API 会 略 有 差异 ， 推 荐 根据 需求 选 
择 较 新 的 稳定 版 本 。 另 外 ， 如 无 特殊 说 明 ， 默 认 数 据 网 段 地 址 范围 为 
10.0.0.0/24， 管 理 网 段 地 址 范围 为 192.168.0.0/24 ° 


执行 命令 代码 中 以 $ 开 头 的 ， 表 示 为 普通 用 户 ; 以 # 开 头 的 ， 表 示 
为 特权 用 户 (oot 。 如 果 用 户 已 经 添加 到 了 docker 用 户 组 (参考 上 一 
vB) ， 大 部 分 时 候 都 无 需 管理 员 权 限 ， 否 则 需要 在 命令 前 使 用 sudo 
来 临时 提升 权限 。 


部 分 命令 执行 结 采 输出 内 容 较 长 的 ， 只 给 出 了 输出 的 关键 部 分 。 
读者 可 根据 目 己 的 实际 情况 ， 搭 建 类 似 的 环境 。 


25 ”本 章 小 结 


本 章 介 绍 了 Docker 的 三 大 核心 概念 ， 镜 像 、 容 器 和 仓库 。 在 后 面 
的 实践 中 ， 读 者 会 感受 到 ， 基 于 三 大 核心 概念 所 构建 的 高 效 工 作 流 
程 ， 正 是 Docker 从 众多 容 亏 虚拟 化 方案 中 脱颖而出 的 重要 原因 。 实 际 
上 ，Docker 的 工作 流 也 并 非 插 衬 创造 的 ， 很 大 程度 上 参考 了 Git 和 
Github 的 设计 理念 ， 从 而 为 应 用 分 发 和 团队 合作 都 带 来 了 众多 优势 。 


在 后 续 音 笔者 将 具体 讲解 围绕 这 三 大 核心 概念 的 Docker 操 作 


第 3 章 ”使 用 Docker 镜 像 


镜像 (image) 是 Docker 三 大 核心 概念 中 最 为 重要 的 ， 自 Docker 诞 
生 之 日 起 “镜像 * 束 是 相关 社区 最 为 热门 的 关键 词 。 


Docker 运 行 容器 前 需要 本 地 存在 对 应 的 镜像 ， 如 果 镜 像 没 保存 在 
本 地 ，Docker 会 笑 试 完 从 默认 镜像 仓库 下 载 (默认 使 用 Docker Hub 公 
共 注 册 服 务 器 中 的 仓库 ) ， 用 户 也 可 以 通过 配置 ， 使 用 自 定 义 的 镜像 
仓库 


本 章 将 介绍 围绕 镜像 这 一 核心 概念 的 具体 操作 ， 包 括 如 何 使 用 
pull 命 令 从 Docker Hub 仓 库 中 下 载 镜 像 到 本 地 ， 如 何 查 看 本 地 已 有 的 镜 
像 信 息 和 管理 镜像 标签 ， 如 何在 远 端 仓库 使 用 search 命 令 进行 搜索 和 
过 滤 ， 如 何 删除 镜像 标签 和 镜像 文件 ， 如 何 创 建 用 户 定 制 的 镜像 并 且 
保存 为 外 部 文件 。 最 后 ， 还 介绍 如 何 往 Docker Hub 仓 库 中 推送 目 己 的 
镜像 。 


Qiz 
一 份 非 官方 研究 报告 表明 ，image 一 直 是 Docker 官 方 社区 


(2014~2016 年 ) 和 StackOverFlow Docker 板 块 (2013~2016 年 ) 的 年 


度 热 词 。 


3.1 获取 镜像 


镜像 是 运行 容器 的 前 提 ， 官 方 的 Docker Hub 网 站 已 经 提供 了 数 十 
万 个 镜像 供 大 家 开放 下 载 。 


可 以 使 用 docker pull 命 令 直 接 从 Docker Hub 镜 像 源 来 下 载 镜像 。 该 
命令 的 格式 为 docker pull NAME[: TAG]。 其 中 ，NAME 是 镜像 仓库 的 
名 称 (用 来 区 分 镜像 ，，TAG 是 镜像 的 标签 (往往 用 来 表示 版 本 信 


E) 。 通 常情 况 下 ， 描 述 一 个 镜像 需要 包括 “名 称 + 标 签 ” 信 息 。 


例如 ， 获 取 一 个 Ubuntu 14.04 系 统 的 基础 镜像 可 以 使 用 如 下 的 命 


d 


14.04: Pulling from library/ubuntu 

6c953ac5d795: Pull complete 

3eed5ff20a90: Pull complete 

f8419ea7cib5: Pull complete 

51900bc9e720: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256:97421885f3da3b23f52eeddcaa9f8f91172a8ac3cd5d3cd40b51c7aad09f66cc 
Status: Downloaded newer image for ubuntu:14.04 


对 于 Docker 镜 像 来 说 ， 如 果 不 显 式 指定 TAG， 则 默认 会 选择 latest 
标签 ， 这 会 下 载 仓库 中 最 新 版 本 的 镜像 。 


下 面 的 例子 将 从 Docker Hub 的 Ubuntu 仓库 下 载 一 个 最 新 的 Ubuntu 
操作 系统 的 镜像 。 


$ docker pull ubuntu 

Using default tag: latest 

latest: Pulling from library/ubuntu 

5ba4f30e5bea: Pull complete 

9d7d19c9dc56: Pull complete 

acead7efdOf9: Pull complete 

e7491a747824: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256:46fb5d001b88ad904c5c732b086b596b92cfb4a4840a3abdOe35dbb6870585e4 
Status: Downloaded newer image for ubuntu:latest 


该 命令 实际 上 下 载 的 就 是 ubuntu: latest 镜 像 。 
Qux 


一 般 来 说 ， 镜 像 的 latest 标 签 意味 着 该 镜像 的 内 容 会 跟踪 最 新 的 非 
稳定 版 本 而 发 布 ， 内 容 是 不 稳定 的 。 当 前 Ubuntu 最 新 的 发 行 版 本 为 
16.04，latest 镜 像 实际 上 就 是 16.04 镜 像 ， 用 户 可 以 下 载 ubuntu: 16.04 
镜像 并 查看 ， 两 者 的 数字 摘要 值 是 一 致 的 。 从 稳定 性 上 考虑 ， 不 要 在 
生产 环境 中 忽略 镜像 的 标签 信息 或 使 用 默认 的 latest 标 记 的 镜像 。 


下 载 过 程 中 可 以 看 出 ， 镜 像 文 件 一 般 由 若干 层 ayer) 组 成 ， 
6c953ac5d795 这 样 的 串 是 层 的 唯一 id (实际 上 完整 的 id 包 括 256 比 特 ， 
由 64 个 十 六 进 制 字符 组 成 ) 。 使 用 docker pull 命 令 下 载 时 会 获取 并 输出 
镜像 的 各 层 信息 。 当 不 同 的 镜像 包括 相同 的 层 时 ， 本 地 仅 存 储 层 的 一 
份 内 容 ， 减 小 了 需要 的 存储 空间 。 


读者 可 能 会 想到 ， 在 使 用 不 同 的 镜像 仓库 服务 右 的 情况 下 ， 可 能 
会 出 现 镜像 重 名 的 情况 。 


严格 地 讲 ， 镜 像 的 仓库 名 称 中 还 应 该 添加 仓库 地 址 (Büregistry. 
注册 服务 器 ) 作为 前 级 ， 只 是 我 们 默认 使 用 的 是 Docker Hub 服 务 ， 该 
前 级 可 以 忽略 。 


例如 ，docker pull ubuntu: 14.04 命 令 相 当 于 docker pull 
registry.hub.docker.com/ubuntu: 14.04 命 令 ， 即 从 默认 的 注册 服务 履 
Docker Hub Registry 中 的 ubuntu 仓库 来 下 载 标记 为 14.04 的 镜像 。 


如 条 从 非 官方 的 仓库 下 载 ， 则 需要 在 仓库 名 称 前 指定 完整 的 仓库 
地 址 。 例 如 从 网 易 蜂 梨 的 镜像 源 来 下 载 ubuntu: 14.04 镜 像 ， 可 以 使 用 
如 下 命令 ， 此 时 下 载 的 镜像 名 称 为 hub.c.163.com/publicubuntu: 

14.04: 


$ docker pull hub.c.163.com/public/ubuntu:14.04 


pull 子 命令 文 持 的 选项 主要 包括 : 


-a, --all-tags-true|false: 是 否 获 取 仓 库 中 的 所 有 镜像 ， 默 认为 


mre 


下 载 镜像 到 本 地 后 ， 即 可 随时 使 用 该 镜像 了 ， 例 如 利用 该 镜像 创 
建 一 个 容器 ， 在 其 中 运行 bash 应 用 ， 执 行 ping localhost 命 令 : 


$ docker run -it ubuntu:14.04 bash 

root@9c74026df1i2a:/# ping localhost 

PING localhost (127.0.0.1) 56(84) bytes of data. 

64 bytes from localhost (127.0.0.1): icmp seq-1 ttl-64 time-0.058 ms 


64 bytes from localhost (127.0.0.1): icmp seq-2 ttl-64 time=0.023 ms 
64 bytes from localhost (127.0.0.1): icmp seq-3 ttl-64 time-0.018 ms 
^C 

--- localhost ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 

rtt min/avg/max/mdev - 0.018/0.033/0.058/0.017 ms 
root89c74026df12a:/4 exit 

exit 


了 查看 镜像 信息 JD 


1. 使 用 images 命 令 列 出 镜像 


使 用 docker images 命 令 可 以 列 出 本 地 主机 上 已 有 镜像 的 基本 信 


例如 ， 下 面 的 命令 列 出 了 上 一 人 小节 中 下 载 的 镜像 信息 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED SIZE 

ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu 14.04 8fibd21bd25c 2 weeks ago 188 MB 


在 列 出 的 信息 中 ， 可 以 看 到 以 下 几 个 字段 信息 。 


.来 目 于 哪个 仓库 ， 比 如 ubuntu 仓库 用 来 保存 ubuntu 系列 的 基础 镜 
像 


-镜像 的 标签 信息 ， 比 如 14.04、latest 用 来 标注 不 同 的 版 本 信息 。 
标签 只 是 标记 ， 并 不 能 标识 镜像 内 容 ，; 


.镜像 的 ID 〈 唯 一 标识 镜像 ) ， 如 ubuntu: latest 和 ubuntu: 16.04 镑 
像 的 ID 都 是 2fa927b5cdd3， 说 明 它 们 目前 实际 上 指 问 同一 个 镜像 ; 


"创建 时 间 ， 说 明镜 像 最 后 的 更 新 时 间 ; 


.镜像 大 小 ， 优 秀 的 镜像 往往 体积 都 较 小 。 

其 中 镜像 的 ID 信息 十 分 重要 ， 它 唯一 标识 了 镜像 。 在 使 用 镜像 ID 
的 时 候 ， 一 般 可 以 使 用 该 ID 的 前 若干 个 字符 组 成 的 可 区 分 串 来 替代 完 
整 的 ID。 


TAG 信息 用 来 标记 来 目 同一 个 仓库 的 不 同 镜像 。 例 如 ubuntu 仓库 
中 有 多 个 镜像 ， 通 过 TAG 信息 来 区 分 发 行 版 本 ， 包 括 10.04、12.04、 
12.10、13.04、14.04、16.04 等 标签 。 


镜像 大 小 信息 只 是 表示 该 镜像 的 逻辑 体积 大 小 ， 实 际 上 由 于 相同 
的 镜像 层 本 地 只 会 存储 一 份 ， 物 理 上 占用 的 存储 空间 会 小 于 各 镜像 的 
逻辑 体积 之 和 。 


-images 子 命令 主要 文 持 如 下 选项 ， 用 户 可 以 目 行 进行 尝试 。 


-a, --all-true|false: 列 出 所 有 的 镜像 文件 (包括 临时 文件 ， 默 
认为 否 ; 


--digests-true|false: 列 出 镜像 的 数字 摘要 值 ， 默 认为 否 ; 


-f，--filter=[]: 过 滤 列 出 的 镜像 ， 如 dangling=true 只 显示 没有 人 被 使 
用 的 镜像 ， 也 可 指定 市 有 特定 标注 的 镜像 等 ; 


--format-"TEMPLATE": 控制 输出 格式 ， 如 .ID 代表 ID 信 


©, Repository tK OJEE aF, 


-no-trunc-true|false: 对 输出 结果 中 太 长 的 部 分 是 人 否 进行 截断 ， 如 
镜像 的 人 DD 信息， 默认 为 是; 


-q. --quiet-true|false: 仅 输出 ID 信息 ， 默 认为 否 。 


其 中 ， 对 输出 结 采 进行 控制 的 选项 如 -f，--filter= 口 、--no- 


trunc=truelfalse、-q，--quiet=truelfalse 等 ， 大 部 分 子 命令 都 文 持 。 
更 多 子 命令 选项 还 可 以 通过 man docker-images 来 查看 。 
2. 使 用 tag 命 令 添 加 镜像 标签 


为 了 方便 在 后 续 工 作 中 使 用 特定 镜像 ， 还 可 以 使 用 docker tag 命 令 
来 为 本 地 镜像 任意 添加 新 的 标 镁 。 例 如 添加 一 个 新 的 myubuntu: latest 


镜像 标签 : 


$ docker tag ubuntu:latest myubuntu:latest 


再 次 使 用 docker images 列 出 本 地 主机 上 镜像 信息 ， 可 以 看 到 多 了 


一 个 拥有 myubuntu: latest 标 签 的 镜像: 


$ docker images 

REPOSITORY TAG IMAGE ID CREATED SIZE 
ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 


myubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu 14.04 8fibd21bd25c 2 weeks ago 188 MB 


之 后 ， 用 户 就 可 以 直接 使 用 myubuntu: latest 来 表示 这 个 镜像 了 。 


细心 的 读者 可 能 注意 到 ， 这 些 myubuntu: latest 镜 像 的 ID 跟 
ubuntu: latest 完 全 一 任 。 它 们 实际 上 指向 同一 个 镜像 文件 ， 只 是 别名 
不 同 而 已 。docker tag 命 令 添 加 的 标签 实际 上 起 到 了 类 似 链 接 的 作用 。 


3. 使 用 inspect 命 令 查 看 详细 信息 


使 用 docker inspect 命 令 可 以 获取 该 镜像 的 详细 信息 ， 包 括 制 作 
者 、 适 应 染 构 、 各 层 的 数字 摘要 等 : 


$ docker inspect ubuntu:14.04 


[ 
t 
"Id": 
"sha256:8f1bd21bd25c3fbi1d4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342", 
"RepoTags": [ 
"ubuntu:14.04" 


]; 
"RepoDigests": [], 
"Parent": ur 
"Comment" : "n Ar 
"Created": "2016-05-27T14:13:04.103044105Z", 
"Container": 
"eb8c67a3bff6e93658d18ac14b3a2134488c140a1ae1205cOcfdfd4A9f087113f", 
"ContainerConfig": 
"Hostname": "fff5562e8198", 
"Domainname": "", 
"User": ur 
"AttachStdin": false, 
"AttachStdout": false, 
"AttachStderr": false, 
"Tty": false, 
"OpenStdin": false, 
"StdinOnce": false, 


"Env": [], 
"Cmd": [ 
"/bin/sh", 


"ocn i 
"#(nop) CMD [\"/bin/bash\"]" 


"Image": 
"f9cdf71c33f14c7af4b75b651624e9ac69711630e21ceb289f69e0300e90c57d", 

"Volumes": null, 

"WorkingDir": "", 

"Entrypoint": null, 

"OnBuild": null, 


"Labels": {} 
3 
"DockerVersion": "1.9.1", 
"Author": UT 
"Config": { 
"Hostname": "fff5562e8198", 
"Domainname": "", 
"User": n ey 


"AttachStdin": false, 

"AttachStdout": false, 

"AttachStderr": false, 

"Tty": false, 

"OpenStdin": false, 

"StdinOnce": false, 

"Env": [], 

"Cmd": [ 

"/bin/bash" 

]; 

"Image": 
"f9cdf71c33fi14c7af4b75b651624e9ac69711630e21ceb289f69e0300e90c57d", 

"Volumes": null, 

"WorkingDir": "", 

"Entrypoint": null, 

"OnBuild": null, 


"Labels": {} 
3 
"Architecture": "amd64", 
"Os": "linux", 


"Size": 187957543, 
"VirtualSize": 187957543, 
"GraphDriver": ( 


"Name": "aufs", 
"Data": null 

}, 

"RootFS": { 


"Type" : "layers", 
"Layers": [ 


"sha256:a7ei1c363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569f4c", 
"sha256:dc109d4b4ccf69361d29292fb15e52707507b520aba8cd43a564182f26725d74", 
"sha256:9f7ab087e6e6574225f863b6013579a76bd0c80c92fefe7aea92c4207b6486cb", 
"sha256:6f8be37bd578bbabe570b0181602971b0ea3509b79a1a3dd5528a4e3fc33dd6f" , 


"sha256:5f70bf18a086007016e948b04aed3b82103a36bea41755b6cddfafi0ace3c6ef" 


] 
} 


返回 的 是 一 个 JSON 格 式 的 消息 ， 如 果 我 们 只 要 其 中 一 项 内 容 时 ， 
可 以 使 用 参数 -{f 来 指定 ， 人 例如， 获取 镜像 的 Architecture: 


$ docker inspect -f {{".Architecture"}} 
amde4 


4. 使 用 history 命 令 查看 镜像 历史 


既然 镜像 文件 由 多 个 层 组 成 ， 那 么 怎么 知道 各 个 层 的 内 容 具体 是 
什么 呢 ? 这 时 候 可 以 使 用 history 子 命令 ， 该 命令 将 列 出 各 层 的 创建 信 
E e 


JUD 


例如 ， 碍 看 ubuntu: 14.04 镜 像 的 创建 过 程 ， 可 以 使 用 如 下 命令 


$ docker history ubuntu:14.04 


IMAGE CREATED CREATED BY SIZE 
COMMENT 

8fibd21bd25c 2 weeks ago /bin/sh -c £(nop) CMD ["/bin/bash"] O B 
«missing» 2 weeks ago /bin/sh -c sed -i 's/^zNs*N(deb.*universeN)$/ 1.895 
kB 

«missing» 2 weeks ago /bin/sh -c rm -rf /var/lib/apt/lists/* O B 
«missing» 2 weeks ago /bin/sh -c set -xe && echo 'Z!/bin/sh' > /u 194.5 
kB 

«missing» 2 weeks ago /bin/sh -c £(nop) ADD file:aca501360d0937bc49 187.8 
MB 


注意 过 长 的 命令 被 自动 截 断 了 ， 可 以 使 用 前 面 提 到 的 --no-trunc 选 
项 来 输出 完整 命令 。 


3.3 ”搜寻 镜像 


使 用 docker search 命 令 可 以 搜索 远 端 仓库 中 共享 的 镜像 ， 默 认 搜 索 
官方 仓库 中 的 镜像 。 用 法 为 docker search TERM， 支 持 的 参数 主要 包 
括 : 


--automated=truelfalse: 仅 显示 目 动 创建 的 镜像 ， 默 认为 否 ; 
--no-trunc-true|false: 输出 信息 不 截断 显示 ， 默 认为 否 ; 


-s, —stars-X: 指定 仅 显 示 评 价 为 指定 星 级 以 上 的 镜像 ， 上 默认 为 
0， 即 输出 所 有 镜像 。 


例如 ， 搜 索 所 有 目 动 创建 的 评价 为 1+ 的 市 nginx 关 键 字 的 镜像 ， 如 
Br: 


$ docker search --automated -s 3 nginx 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

jwilder/nginx-proxy Automated Nginx reverse proxy for docker c... 670 [OK] 
richarvey/nginx-php-fpm Container running Nginx + PHP-FPM capable ... 206 [OK] 
millioni2/nginx-php Nginx + PHP-FPM 5.5, 5.6, 7.0 (NG), CentOS... 67 [OK] 
maxexcloo/nginx-php Docker framework container with Nginx and ... 57 [OK] 
webdevops/php-nginx Nginx with PHP-FPM 38 [OK] 
h3nrik/nginx-ldap NGINX web server with LDAP/AD, SSL and pro... 27 [OK] 
bitnami/nginx Bitnami nginx Docker Image 18 [OK] 
maxexcloo/nginx Docker framework container with Nginx inst... 7 [0K] 
millioni2/nginx Nginx: extensible, nicely tuned for better... 4 [0K] 
webdevops/nginx Nginx container 3 [0K] 
ixbox/nginx Nginx on Alpine Linux. 3 [0K] 
evild/alpine-nginx Minimalistic Docker image with Nginx 3 [0K] 


可 以 看 到 返回 了 很 多 包含 关键 字 的 镜像 ， 其 中 包括 镜像 名 字 、 摘 
述 、 星 级 (表示 该 镜像 的 受 欢迎 程度 ) 、 是 否 官方 创建 、 是 否 自 动 创 
建 等 。 


默认 的 输出 结果 将 按照 星 级 评价 进行 排序 。 


3.4 ”删除 镜像 


1. 使 用 标签 删除 镜像 


使 用 docker rmi 命 令 可 以 删除 镜像 ， 命 令 格 式 为 docker rmi 
IMAGE[IMAGE...]， 其 中 IMAGE 可 以 为 标签 或 ID。 


例如 ， 要 删除 掉 myubuntu: latest 镜 像 ， 可 以 使 用 如 下 命令 : 


$ docker rmi myubuntu:latest 
Untagged: myubuntu:latest 


读者 可 能 会 担心 ， 本 地 的 ubuntu:， latest 镜 像 是 否 会 受 此 命令 的 影 
啊 。 无 需 担 心 ， 当 同一 个 镜像 拥有 多 个 标签 的 时 候 ，docker rmi 命 令 只 
是 删除 该 镜像 多 个 标签 中 的 指定 标签 而 已 ， 并 不 影响 镜像 文件 。 因 此 
上 述 操 作 相 当 于 只 是 删除 了 镜像 2fa927b5cdd3 的 一 个 标签 而 已 。 


为 保险 起 见 ， 再 次 查看 本 地 的 镜像 ， 发 现 ubuntu:， latest 镜 像 ( 准 
确 地 说 是 2fa927b5cdd3 镑 像 ) 仍然 存在 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED SIZE 
ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 


ubuntu 14.04 8f1bd21bd25c 2 weeks ago 188 MB 


但 当 镜 像 只 剩 下 一 个 标签 的 时 候 束 要 小 心 了 ， 此 时 再 使 用 docker 
rmi 命 令 会 彻底 删除 镜像 。 


例如 删除 标签 为 ubuntu: 14.04 的 镜像 ， 由 于 该 镜像 没有 额外 的 标 
签 指 癌 它 ， 执 行 docker rmi 命 令 ， 可 以 看 出 它 会 删除 这 个 镜像 文件 的 所 
有 层 : 


$ docker rmi ubuntu:14.04 

Untagged: ubuntu:14.04 

Deleted: sha256:8f1bd21bd25c3fbi1d4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342 
Deleted: sha256:8ea3b9ba4dd9d448d1ca3ca7afa8989d033532c11050f5e129d267be8de9c1b4 
Deleted: sha256:7db5fb90ebeffb6bs5s418f76dde5f685601fad200a8f4698432ebf8ba80757576 
Deleted: sha256:19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919f88eccce75 
Deleted: sha256:c357a3f74f16f61c2cc78dbbOaedff8c8fAfa79be9388db38a87c7d8010b2fe4 
Deleted: sha256:a7e1c363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569fA4c 


2. 使 用 镜像 ID 删除 镜像 


当 使 用 docker rmi 命 令 ， 并 且 后 面 跟 上 镜像 的 ID (也 可 以 是 能 进行 
DC BJBEZHIDEREIZR) 时 ， 会 先 壬 试 删除 所 有 指 癌 该 镜像 的 标签 ， 然 
后 删除 该 镜像 文件 本 号。 


注意 ， 当 有 该 镜像 创建 的 容器 存在 时 ， 镜 像 文件 默认 古 无 法 补 删 
除 的 ， 例 如 ， 先 利用 ubuntu: 14.04 镜 像 创建 一 个 简单 的 容器 来 输出 一 
段 话 : 


$ docker run ubuntu:14.04 echo 'hello! I am herel 
hello! I am here! 


使 用 docker ps-a 命 令 可 以 看 到 本 机 上 存在 的 所 有 容器 : 


刚 基 于 ubuntu: 


am 


可 以 看 到 ， 后 台 存 在 一 个 退出 状态 的 容 需 ， 
14.04 镜 像 创建 的 。 


$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

a21c0840213e ubuntu:14.04 "echo 'hello! I am he" About a minute 
ago Exited (0) About a minute ago romantic euler 


WAERVASSÉR, DockerZ fev H GsRIETEXSTT. AWBR: 


$ docker rmi ubuntu:14.04 
Error response from daemon: conflict: unable to remove repository reference 


"ubuntu: 
14.04" (must force) - container a21c0840213e is using its referenced image 
8fibd21bd25c 


如 条 要 想 强 行 删除 镜像 ， 可 以 使 用 -f 参 数 。 


$ docker rmi -f ubuntu:14.04 
Untagged: ubuntu:14.04 
Deleted: sha256:8fi1bd21bd25c3fbi1d4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342 


Ex. JO EAE H -ARR E gU ER— T CERE ORT] 
镜像 。 正 确 的 做 法 是 ， 先 删除 依赖 该 镜像 的 所 有 容器 ， 再 来 删除 镜 
像 。 EAE ERE 28a21c08402 13e: 


$ docker rm a21c0840213e 


再 使 用 ID 来 删除 镜像 ， 此 时 会 正常 打印 出 删除 的 各 层 信 息 : 


Untagged: ubuntu:14.04 
Deleted: sha256:8fibd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342 


Deleted: 
Deleted: 
Deleted: 
Deleted: 
Deleted: 


sha256: 
sha256: 
sha256: 
:c357a3f74fi6f61c2cc78dbbOaeidff8c8f4Afa79be9388db38a87c7d8010b2fe4 
sha256: 


sha256 


8ea3b9ba4dd9d448d1ca3ca7afa8989d033532c11050f5e129d267be8de9c1b4 
7db5fb90ebeffbebs418f76dde5fe685601fad200a8f4698432ebf8ba80757576 
19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919f88eccce75 


a7ei1c363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569f4c 


3.5 ”创建 镜像 


创建 镜像 的 方法 主要 有 三 种 ， 基 于 已 有 镜像 的 容 絮 创建 、 基 于 本 
地 模板 导入 、 基 于 Dockerfile 创 建 。 


本 市 将 重点 介绍 前 两 种 方法 。 最 后 一 种 基于 Dockerfile 创 建 的 方法 
将 在 后 续 章节 专门 予以 详细 介绍 


1. 基 于 已 有 镜像 的 容 右 创建 


该 方法 主要 是 使 用 docker commit 命 令 。 命 令 格 式 为 docker 
commit[OPTIONS]CONTAINER[REPOSITORY[: TAG]]， 主 要 选项 包 
括 : 


-a，--author="": 作 考 信息: 


-c, --change-[]: 提交 的 时 候 执 行 Dockerfile 指 令 ， 包 括 
CMD|ENTRYPOINT|ENV|EXPOSE|LABEL|ONBUILD|USER|VOLUME]| 


WORKDIR 等 : 


m, --message-"": 提交 消息 ; 


.-p，--pause=true: 提交 时 和 暂 信 容器 运行 。 


下 面 将 演示 如 何 使 用 该 命令 创建 一 个 新 镜像 。 首先 ， 局 动 一 个 镜 
像 ， 并 在 其 中 进行 修改 操作 ， 例 如 创建 一 个 test 文 件 ， 之 后 退出 : 


$ docker run -it ubuntu:14.04 /bin/bash 
root@a925cb40b3f0:/# touch test 
rootQa925cb40b3f0:/4 exit 


记 住 容器 的 ID 为 a925cb40b3f0 ° 


此 时 该 容器 跟 原 ubuntu: 14.04 镜 像 相 比 ， 已 经 发 生 了 改变 ， 可 以 
使 用 docker commit 命 令 来 提交 为 一 个 新 的 镜像 。 提 交 时 可 以 使 用 ID 或 


名 称 来 指定 容器 


$ docker commit -m "Added a new file" -a "Docker Newbee" a925cb40b3fO test:0.1 
9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dda02f27 


顺利 的 话 ， 会 返回 新 创建 的 镜像 的 ID 信息 ， 例 如 
9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dda02f27 


o 


此 时 碍 看 本 地 镜像 列表 ， 会 发 现 新 创建 的 镜像 已 经 存在 了 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test 0.1 9e9c814023bc 4 seconds ago 188 MB 


2. 基 于 本 地 模板 导入 


用 户 也 可 以 直接 从 一 个 操作 系统 模板 文件 导入 一 个 镜像 ， 主 要 使 
用 docker import 命 令 。 命 令 格 式 为 docker import[OPTIONS]file|URL|- 
[REPOSITORY[:TAG]] ° 


要 直接 导入 一 个 镜像 ， 可 以 使 用 OpenVZ 提 供 的 模板 来 创建 ， 或 者 
用 其 他 已 导出 的 镜像 模板 来 创建 。OPENVZ 模 板 的 下 载 地 址 为 


http://openvz.org/Download/templates/precreated ° 


例如 ， 下 载 了 ubuntu-14.04 的 模板 压缩 包 ， 之 后 使 用 以 下 命令 导 
A: 


$ cat ubuntu-14.04-x86 64-minimal.tar.gz | docker import - ubuntu:14.04 


然后 查看 新 导入 的 镜像 ， 会 发 现 它 已 经 在 本 地 存在 了 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 05ac7c0b9383 17 seconds ago 215.5 MB 


3.6 ” 存 出 和 载 入 镜像 


用 户 可 以 使 用 docker save 和 docker lo0ad 命 令 来 存 出 和 载 入 镜像 。 
1. 存 出 镜像 


如 果 要 导出 镜像 到 本 地 文件 ， 可 以 使 用 docker save 命 令 。 例 如 ， 
导出 本 地 的 ubuntu: 14.04 镜 像 为 文件 ubuntu_14.04.tar， 如 下 所 示 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 8f1bd21bd25c 2 weeks ago 188 MB 


$ docker save -o ubuntu 14.04.tar ubuntu:14.04 


之 后 ， 用 户 就 可 以 通过 复制 ubuntu_14.04.tar 文 件 将 该 镜像 分 享 给 
他 人 。 


2. 载 入 镜像 


可 以 使 用 docker load 将 导出 的 tar 文 件 再 导入 到 本 地 镜像 库 ， 例 如 
从 文件 ubuntu_14.04.tar 导 入 镜像 到 本 地 镜像 列表 ， 如 下 所 示 : 


$ docker load --input ubuntu 14.04.tar 


BY: 


$ docker load < ubuntu 14.04.tar 


这 将 导入 镜像 及 其 相关 的 元 数据 信息 (包括 标签 等 。 导 入 成 功 
后 ， 可 以 使 用 docker images 命 令 进 行 查看 。 


37 “上传 镜像 


可 以 使 用 docker push 命 令 上 传 镜 像 到 仓库 ， 默 认 上 传 到 Docker 
Hub 官 方 仓 库 (需要 登录 ) 。 命 令 格 式 为 : 


docker push NAME[:TAG] | [REGISTRY_HOST[:REGISTRY_PORT]/]NAME[ : TAG] 


用 户 在 Docker Hub 网 站 注册 后 可 以 上 传 目 制 的 镜像 。 例 如 用 户 
user 上 传 本 地 的 test，latest 镜 像 ， 可 以 先 添加 新 的 标签 user/test: 
latest， 然 后 用 docker push 命 令 上 传 镜 像 : 


$ docker tag test:latest user/test:latest 

$ docker push user/test:latest 

The push refers to a repository [docker.io/user/test] 
Sending image list 

Please login prior to push: 

Username: 

Password: 

Email: 


第 一 次 上 传 时 ， 会 提示 输入 登录 信息 或 进行 注册 。 


3.8 ”本章 小 结 


本 章 具体 介绍 了 围绕 Docker 镜 像 的 一 系列 重要 命令 操作 ， 包 括 获 
取 、 碍 看 、 搜 索 、 删 除 、 创 建 、 存 出 和 载 入 、 上 传 等 。 


镜像 是 使 用 Docker 的 前 气 ， 也 是 最 基本 的 资产。 所 以 ， 在 平时 的 
Docker 使 用 中 ， 要 注意 积 素 目 己 定制 的 镜像 文件 ， 并 将 目 己 创建 的 高 
质量 镜像 分 译 到 社区 中 。 


在 后 续 革 方 ， 笔 者 将 介绍 更 多 对 镜像 进行 操作 的 场景 。 


jw | 


第 4 章 ”操作 Docker 容 需 


容 絮 是 Docker 的 男 一 个 核心 概念 。 简 单 来 说 ， 容 疑 是 镜像 的 一 个 
运行 实例 。 所 不 同 的 是 ， 镜 像 是 静态 的 只 读 文 件 ， 而 容 右 囊 有 运行 时 
需要 的 可 写 文件 层 。 如 末 认 为 虚拟 机 十 模 拟 运 行 的 一 整套 操作 系统 
(包括 内 核 、 应 用 运行 态 环 境 和 其 他 系统 环境 ) 和 跑 在 上 面 的 应 用 ， 
那么 Docker 容 需 就 是 独立 运行 的 一 个 或 一 组 ) 应 用 ， 以 及 它们 必需 
的 运行 环境 


本 章 将 具体 介绍 围绕 容 右 的 重要 操作 ， 包 括 创建 一 个 容器 、 局 动 
容器 、 终 止 一 个 容器 、 进 入 容 絮 内 执行 控 作 、 删 除 容 絮 和 通过 导入 导 
出 容 需 来 实现 容 需 迁移 等 。 
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从 现在 开始 ， 忘 掉 “ 爱 肿 * 的 虚拟 机 吧 。 对 容器 进行 操作 就 跟 直 接 
操作 应 用 一 样 简单 、 快 速 。Docker 容 器 实在 太 轻 量 级 了 ， 用 户 可 以 随 
时 创建 或 删除 容器 。 


1. 新 建 容器 
可 以 使 用 docker create 命 令 新 建 一 个 容器 ， 例 如 : 


$ docker create -it ubuntu:latest 
af8fAf922dafee22c8fe6cd2ae11d16e25087d61fibi1fab55b36e9A4db7ef45178 


$ docker ps -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
afaf4f922daf ubuntu:latest "/bin/bash" 17 seconds ago Created silly euler 


使 用 docker create 命 令 新 建 的 容器 处 于 停止 状态 ， 可 以 使 用 docker 


start 命 令 来 局 动 它 。 

Create 命 令 和 后 续 的 run 命 令 文 持 的 选项 都 十 分 复杂 ， 主 要 包括 如 
下 几 大 类 : 与 容 央 运行 模式 相关 、 与 容 右 和 环境 配置 相关 、 与 容 圳 资 
源 限 制 和 安全 保护 相关 ， 人 参见 表 4-1、 表 4-2、 表 4-3。 


表 4-1 create 命 令 与 容 絮 运行 模式 相关 的 选 


选 项 
-a, --attach-[] 
-d, 


--detach-keys-"" 


--detach-true|false 


--entrypoint-"" 
--expose-[] 
--group-add-[] 
-i, --interactive-true|false 
--ipcz"" 


--isolation-"default" 
--log-driver-"json-file" 
--log-opt-[] 
--net-"bridge" 


--net-alias-[] 


-P, --publish-all-true|false 
-p, --publish-[] 
--pid-host 


--userns-"" 


--uts-host 
--restart-"no" 


--rm-true|false 
-t, --tty-true|false 
--tmpfs-[] 


-v|--volume[-2*[[HOST-DIR:] 


CONTAINER-DIR[:OPTIONS]]] 


--volume-driver-"" 
--volumes-from-[] 


-W, —-workdirz"" 


说 明 
是 否 绑 定 到 标准 输入 、 输 出 和 错误 
是 否 在 后 台 运 行 容器 ， 默 认为 耕 
从 attach 模式 退出 的 快捷 键 
镜像 存在 人口 命令 时 ， 覆 盖 为 新 的 命令 
指定 容器 会 暴露 出 来 的 端口 或 端口 范围 
运行 容器 的 用 户 组 
保持 标准 输入 打开 ， 默 认为 false 
容器 IPC 命名 空间 ， 可 以 为 其 他 容器 或 主机 
容器 使 用 的 隔离 机 制 
指定 容器 的 日 志 驱 动 类 型 ， 可 以 为 json-file、 syslog, journald, 


gelf, fluentd, awslogs, splunk, etwlogs, gcplogs 或 none 


传递 给 日 志 驱 动 的 选项 
指定 容器 网 络 模式 ,包括 bridge、none、 其 他 容器 内 网 络 、host 的 


网 络 或 某 个 现 有 网 络 等 


容器 在 网 络 中 的 别名 

通过 NAT 机 制 将 容器 标记 暴露 的 端口 自动 映射 到 本 地 主机 的 临时 端口 
指定 如 何 映射 到 本 地 主机 端口 ， 例 如 -p 11234-12234:1234-2234 
容器 的 PID 命名 空间 

启用 userns-remap 时 配置 用 户 命名 空间 的 模式 
容器 的 UTS 命名 空间 

容器 的 重启 策略 ， 包 括 no. on-failure[:max-retry], always, 


unless-stopped 等 


容器 退出 后 是 否 自 动 删除 ,不 能 跟 -d 同时 使 用 
是 否 分 配 一 个 伪 终 端 ， 默 认为 false 
挂 载 临时 文件 系统 到 容器 


挂 载 主机 上 的 文件 卷 到 容器 内 


挂 载 文件 卷 的 驱动 类 型 
从 其 他 容器 挂 载 卷 
容器 内 的 默认 工作 目录 


表 4-2 ， create 命令 与 容器 环境 和 配置 相关 的 选项 


选 项 
--add-host-[] 
--devicez[] 


--dns-search-[] 


说 — 8j 
在 容器 内 添加 一 个 主机 名 到 TP 地 址 的 暴 射 美 系 (通过 /ete/hosts 文件 ) 
映射 物理 机 上 的 设备 到 容 颖 内 
DNS 搜索 或 


选 项 
--dns-opt-:] 
--dns-[] 
ee, c-emnwe] 


--env-f:le-[] 

-h, --hostname-"" 

--ips"" 

--ip6-"" 

--linx-[«name or id»:alias] 
--mac-addressz"" 


--namez"" 


2x) 
说 — 有明 
自 定义 的 DNS 选项 
自 定义 的 DNS 服务 器 
指定 容 需 内 环境 变量 


从 文件 中 读 取 坏 境 变 量 刘 容 融 内 
指定 容器 内 的 主机 名 

指定 容器 的 IPv4 地 址 

指定 容器 的 IPv6 Hahl: 
链接 到 其 他 容 带 
指定 容器 的 Mac 地 址 

者 定 容器 的 别名 


表 4-3 ”create 命 令 与 容器 资源 限制 和 安全 保护 相关 的 选项 


选 m 
--blkio-weight-10-1000 
--blkio-weight-device- 
[DEVICE NAME:WEIGHT] 
--cpu-shares-0 
--cap-add-[] 
--cap-drop-[] 
--cgroup-parent-"" 
--cidfile-"" 
--cpu-period-0 
--cpuset-cpus-"" 
--cpuset-mems-"" 
--cpu-quota-0 
--device-read-bps-[] 
--device-write-bps-[] 
--device-read-iops-[] 
--device-write-iops-[] 
--kernel-memory-"" 


-m, --memory- 
--memory-reservation-"" 


--memory-swap-"LIMIT" 
--oom-kill-disable-true|false 
--oom-score-adj-"" 


--pids-limit-"" 


--privileged-true|false 


说 — 明 
容器 读 写 块 设 备 的 VO 性 能 权重 ， 默 认为 0 


指定 各 个 块 设备 的 VO 性 能 权重 


允许 容器 使 用 CPU 资源 的 相对 权重 ， 默 认 一 个 容器 能 用 满 一 个 核 的 CPU 

增加 容器 的 Linux 指定 安全 能 力 

移 除 容 器 的 Linux 指定 安全 能 力 

容器 cgroups 限制 的 创建 路 径 

指定 容器 的 进程 ID 号 写 到 文件 

限制 容器 在 CFS 调度 器 下 的 CPU 占用 时 间 片 

限制 容器 能 使 用 哪些 CPU 核心 

NUMA 架构 下 使 用 哪些 核心 的 内 存 

限制 容器 在 CFS 调度 器 下 的 CPU 配额 

挂 载 设 备 的 读 吞 吐 率 (以 bps 为 单位 ) 限制 

挂 载 设备 的 写 符 吐 率 (以 bps 为 单位 ) 限制 

挂 载 设备 的 读 速率 (以 每 秒 o 次 数 为 单位 ) 限制 

挂 载 设备 的 写 速率 (以 每 秒 io 次 数 为 单位 ) 限制 

限制 容器 使 用 内 核 的 内 存 大 小 ， 单 位 可 以 是 b、k、m 或 g 

限制 容器 内 应 用 使 用 的 内 存 ， 单 位 可 以 是 b、k、m 或 g 

当 系 统 中 内 存 过 低 时 ， 容 器 会 被 强制 限制 内 存 到 给 定 值 ， 默 认 情况 下 
等 于 内 存 限 制 值 

限制 容器 使 用 内 存 和 交换 区 的 总 大 小 

内 存 耗 尽 (Out-Of-Memory) 时 是 否 杀 死 容器 

调整 容器 的 内 存 耗 尽 参数 

限制 容器 的 pid 个 数 

是 否 给 容器 以 高 权限 ， 这 意味 着 容器 内 应 用 将 不 受权 限 下 限制 ， 一 般 
不 推荐 


(8E) 


选 项 E. 明 
--read-only-true|false Rd EAE AP TIC TT ZEE 
--security-opbt-[] 指定 一 些 安全 参数 ， GREEN. 安全 能 力 、apparmeor 等 
--stop-signal-SIGTERM 指定 停止 容器 的 系统 信号 
--shm-size-"" /dev/shm 的 大 小 


是 否 代理 妆 到 的 信 给 应 用 ， 默 认为 true， 不 能 代理 SIGCHLD， 


--sig-oroxy-true|false 
SIGSTOP 和 SIGKILL 信和 号 


--nemory-swappiness-"0O^100" ZEE PTEET 
二 CE 指定 在 容 帮 内 执行 命令 的 用 户 信息 
--ulinit-[] 通过 ulimit 来 限制 最 大 文件 数 、 最 大 进程 数 等 


其 他 比较 重要 的 选项 还 包括 : 
-1，--label=[]: 以 键 值 对 方式 指定 容器 的 标签 信息 ; 
-label-file=[]: 从 文件 中 读 取 标签 信息 。 

2. 启 动容 器 


使 用 docker start 命 令 来 启动 一 个 已 经 创建 的 容器 ， 例 如 启动 刚 创 建 
的 ubuntu 容器 : 


$ docker start af 


af 
此 时 ， 通 过 docker ps 命令 可 以 查看 一 个 运行 中 的 容器 : 
$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


af8f4f922daf ubuntu:latest "/bin/bash" 2 minutes ago Up 7 seconds silly euler 


3. 新 建 并 启动 容器 


除了 创建 容器 后 通过 start 命 令 来 启动 ， 也 可 以 直接 新 建 并 启动 容 
器 。 所 需要 的 命令 主要 为 docker run， 等 价 于 先 执行 docker create 命 令 ， 
再 执行 docker start 命 令 


例如 ， 下 面 的 命令 输出 一 个 “Hello World", Jas B 32A 1L: 


$ docker run ubuntu /bin/echo 'Hello world' 
Hello world 


这 跟 在 本 地 直接 执行 /bin/echo'hello world' 几 乎 感觉 不 出 任何 区 别 。 


当 利 用 docker run 来 创建 并 启动 容器 时 ，Docker 在 后 台 运 行 的 标准 
操作 包括 : 


-检查 本 地 是 否 存 在 指定 的 锐 像 ， 不 存在 束 从 公有 仓库 下 载 ; 


-利用 镜像 创建 一 个 容 右 ， 并 局 动 该 容器 ; 


分 配 一 个 文件 系统 给 容器 ， 并 在 只 读 的 镜像 层 外 面 挂 载 一 层 可 读 


An] 
ma 


:从 窒 主 主机 配置 的 网 桥接 口中 桥接 一 个 虚拟 接口 到 容 笑 中 ; 


:从 网 桥 的 地 址 池 配 置 一 个 IP 地 址 给 容器 


-执行 用 户 指定 的 应 用 程序 ; 


-执行 完毕 后 容 融 极目 动 终 止 。 
下 面 的 命令 启动 一 个 bash 终 端 ， 人 允许 用 户 进 行 交 互 : 


$ docker run -it ubuntu:14.04 /bin/bash 
rootQaf8bae53bdd3: /:Ó 


其 中 ，-t 选 项 让 Docker 分 配 一 个 伪 终 端 (pseudo-tty) 并 绑 定 到 容器 
的 标准 输入 上 ，-i 则 让 容 絮 的 标准 输入 你 持 打 开 。 更 多 的 命令 选项 可 以 


通过 man docker-run 命 令 来 查看 。 
在 交互 模式 下 ， 用 户 可 以 通过 所 创建 的 终端 来 输入 命令 ， 例 如 : 


root@af8bae53bdd3:/# pwd 
/ 


root@af8bae53bdd3:/# 1s 
bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr 


var 
root@af8bae53bdd3:/# ps 
PID TTY TIME CMD 
1? 00:00:00 bash 
11 ? 00:00:00 ps 


在 容 角 内 用 ps 命令 查看 进程 ， 可 以 看 到 ， 只 运行 了 bash 应 用 ， 并 没 


用 户 可 以 按 Ctrl+d 或 输入 exit 命 令 来 退出 容器 : 


root@af8bae53bdd3:/# exit 
exit 


对 于 所 创建 的 bash 容 器 ， 当 使 用 exit 命 令 退 出 之 后 ， 容 器 就 自动 处 
于 退出 (Exited) 状态 了 。 这 是 因为 对 Docker 容 器 来 说 ， 当 运行 的 应 用 
退出 后 ， 容 器 也 就 没有 继续 运行 的 必要 了 。 


某 些 时 候 ， 执 行 docker run 会 出 错 ， 因 为 命令 无 法 正常 执行 容器 会 
直接 退出 ， 此 时 可 以 查看 退出 的 错误 代码 。 


默认 情况 下 ， 和 常见 错误 代码 包括 : 


.125: Docker daemon 执 行 出错 ， 例 如 指定 了 不 文 持 的 Docker 命 令 


126: 所 指定 命令 无 法 执行 ， 例 如 权限 出 错 ; 


127: ag m IATER o 


A. STHP SAT 


更 多 的 时 候 ， 需 要 让 Docker 容 器 在 后 台 以 守护 态 (Daemonized) 
形式 运行 。 此 时 ， 可 以 通过 添加 -d 参 数 来 实现 。 


例如 下 面 的 命令 会 在 后 人 台 运 行 容 郁 : 


$ docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; 
done" 
ce554267d7a4c34eefc92c5517051dc37b918b588736d0823e4c846596b04d83 


容器 启动 后 会 返回 一 个 唯一 的 d， 也 可 以 通过 docker ps 命令 来 查 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t About a minute ago Up About 
a minute determined pik 


此 时 ， 要 获取 容 右 的 输出 信息 ， 可 以 如 下 使 用 docker logs 命 令 : 


$ docker logs ce5 
hello world 
hello world 
hello world 


看 


4.2 RIERA 
可 以 使 用 docker stop 来 终止 一 个 运行 中 的 容器 。 该 命令 的 格式 为 
docker stop[-t|--time[=10]][CONTAINER...]° 


首先 向 容器 发 送 SIGTERM 信 和 号， 等 待 一 段 超时 时 间 (默认 为 10 
Fb) 后 ， 再 发 送 SIGKILL 信 号 来 终止 容器 : 


$ docker stop ce5 
ce5 


Qs 
docker kill 命 令 会 直接 发 送 SIGKILL 信 号 来 强行 终止 容器 。 


此 外 ， 当 Docker 容 絮 中 指定 的 应 用 终结 时 ， 容 器 也 会 目 动 终止 。 
例如 对 于 上 一 市 中 只 局 动 了 一 个 终端 的 容器 ， 用 户 通 过 exit 命 令 或 
Ctrltd 来 退出 终端 时 ， 所 创建 的 容器 立刻 终止 ， 人 处 于 stopped 状 态 。 


可 以 用 docker ps-qa 命 令 看 到 所 有 容 絮 的 ID。 例 如 : 


$ docker ps -qa 
ce554267d7a4 
d58050081fe3 
e812617b41f6 


处 于 终止 状态 的 容器 ， 可 以 通过 docker start 命 令 来 重新 启动: 


$ docker start ce5 

ce5 

$ docker ps 

CONTAINER ID IMAGE COMMAND 

ce554267d7a4  ubuntu:latest 
determined pike 


ISh, docker restart 命 令 会 将 一 


新 局 动 它 : 


$ docker restart ce5 

ce5 

$ docker ps 

CONTAINER ID IMAGE COMMAND 

ce554267d7a4  ubuntu:latest 
determined pike 


CREATED 
"/bin/sh 


CREATED 
"/bin/sh 


-C 


-C 


STATUS 
'while t 


个 运 和 


STATUS 
'while t 


PORTS 
4 minutes ago 


PORTS NAMES 
5 minutes ago 


NAMES 
Up 5 seconds 


Up 14 seconds 


本 人 
启动 后 会 进入 后 台 ， 用 户 无 法 看 到 容器 中 


在 使 用 -d 参 数 时 ， 容 器 


的 信息 ， 也 无 法 进行 操作 。 
这 个 时 候 如 果 需 要 进入 容 髓 进行 操作 ， 有 多 种 方法 ， 包 括 使 用 官 
方 的 attach 或 exec 命 令 ， 以 及 第 三 方 的 nsenter 工 具 等 。 下 面 分 别 介绍 一 


Fe 


1.attach 命 令 
命令 格式 为 : 


attachzé Docker Ei t? HJ 45 4 , 


docker attach [--detach-keys[-[]]] [--no-stdin] [--sig-proxy[-true]] CONTAINER 


支持 三 个 主要 选项 : 
-detach-keys[=[]]， 指定 退出 attach 模 式 的 快捷 键 序 列 ， 默 认 是 


CTRL-p CTRL-q; 
--no-stdin-true|false: 是 否 关闭 标准 输入 ， 默 认 是 保持 打开 


--sig-proxy-true|false: 是 否 代理 收 到 的 系统 信号 给 应 用 进程 ， 默 


认为 true。 


下 面 示例 如 何 使 用 该 命令 


$ docker run -itd ubuntu 
243c32535da7d4142fbO0e6df616a3c3ada0b8ab417937c853a9edic2541f499f550 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
243c32535da7 ubuntu:latest  "/bin/bash" 18 seconds ago Up 17 seconds 


nostalgic hypatia 
$ docker attach nostalgic hypatia 
rootQ243c32535da7:/84 


但 是 使 用 attach 命 令 有 时 候 并 不 方便 。 当 多 个 窗口 同时 用 attach 命 
令 连 到 同一 个 容器 的 时 候 ， 所 有 窗口 都 会 同步 显示 。 当 某 个 窗口 因 命 
令 阻 塞 时 ， 其 他 窗口 也 无 法 执行 操作 了 。 


2.exec 命 令 


Docker 从 1.3.0 版 本 起 提供 了 一 个 更 加 方便 的 exec 命 令 ， 可 以 在 容 
右 内 直接 执行 任意 命令 。 该 命令 的 基本 格式 为 : 


docker exec [-d|--detach] [--detach-keys[=[]]] [-il|l--interactive] [--privileged] 
[-t|--tty] [-u|--user[-USER]] CONTAINER COMMAND [ARG...]* 


比较 重要 的 参数 有 : 


.-i，--interactive=truelfalse: 打开 标准 输入 接受 用 户 输入 命令 ， 默 
认为 false: 


--privileged-true|false: 是 否 给 执行 命令 以 高 权限 ， 默 认为 false; 


-t, --tty-true|false: 分 配 伪 终端 ， 默 认为 false; 


u, -user-"": 执行 命令 的 用 户 名 或 ID。 
例如 进入 到 刚 创建 的 容器 中 ， 并 启动 一 个 bash: 


$ docker exec -it 243c32535da7  /bin/bash 
rootQ243c32535da7:/£8 


"DUE SI, —""bash£E9mi]JF [ . TE EZ Ens VAI RC FH BAI Rn 
提 下 ， 用 户 可 以 很 容易 与 容 右 进行 交互 。 


Qux 


通过 指定 -it 参数 来 保持 标准 输入 打开 ， 并 且 分 配 一 个 伪 终 端 。 通 
过 exec 命 令 对 容器 执行 操作 是 最 为 推荐 的 方式 。 


3.nsenter 工具 


在 util-linux 软 件 包 版 本 2.23+ 中 包含 nsenter 工 具 。 如 果 系 统 中 的 
util-linux 包 没有 该 命令 ， 可 以 按照 下 面 的 方法 从 源码 安装 : 


$ cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util- 
linux-2.24.tar.gz | tar -zxf-; cd util-linux-2.24; 

$ ./configure --without-ncurses 

$ make nsenter && cp nsenter /usr/local/bin 


为 了 使 用 nsenter 连 接 到 容器 ， 还 需要 找到 容 右 进程 的 PID， 可 以 通 
过 下 面 的 命令 获取 : 


PID=$(docker inspect --format "{{ .State.Pid }}" <container>) 


NS 


通过 这 个 PID， 就 可 以 连接 到 这 个 容器 : 


$ nsenter --target $PID --mount --uts --ipc --net --pid 


下 面 给 出 一 个 完整 的 例子 ， 


$ docker run -idt ubuntu 


HH 


通过 nsenter 命 令 进 入 


Dm 


243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9e1c251f499f550 


$ docker ps 


CONTAINER ID IMAGE COMMAND 


243c32535da7  ubuntu:latest 
nostalgic hypatia 


CREATED STATUS PORTS NAMES 


"/bin/bash" 18 seconds ago Up 17 seconds 


$ PID-$(docker-pid 243c32535da7) 


10981 


$ nsenter --target 10981 --mount --uts --ipc --net --pid 


root0243c32535da7:/4 


Xt: u] E ids FUR FR A EE A: 


rootQce554267d7a4:/8 w 
11:07:36 up 3:14, © users, 


USER TTY FROM 
rootQce554267d7a4:/4 ps -ef 
UID PID PPID C STIME 
root 1 © © 10:56 
world; sleep 1; done 

root 699 0 © 11:07 
root 716 1 0 11:07 
root 717 699 © 11:07 


load average: 0.00, 0.02, 0.05 


TTY 
? 


~ 


LOGINQ IDLE JCPU PCPU WHAT 


TIME CMD 
00:00:00 /bin/sh -c while true; do echo hello 


00:00:00 /bin/bash 
00:00:00 sleep 1 
00:00:00 ps -ef 


4.4 ”删除 容器 


可 以 使 用 docker rm 命令 来 删除 处 于 终止 或 退出 状态 的 容器 ， 命 令 格 
式 为 docker rm[-f|--force][-1|--link][-v|-- 
volumes | CONTAINER[CONTAINER...] ° 


主要 文 持 的 选项 包括 : 


.-f，--force=false:， 是 否 强行 终止 并 删除 一 个 运行 中 的 容器 ，; 


H 


-l. -ink-false: MIRARE, BIR AAA; 
-v, --volumes-false: 删除 容 姻 挂 载 的 数据 卷 。 
例如 ， 查 看 处 于 终止 状态 的 容器 ， 并 删除 : 


$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 3 minutes ago Exited 
(-1) 13 seconds ago determined pike 

d58050081fe3 ubuntu:latest "/bin/bash" About an hour ago Exited (0) 
About an hour ago berserk brattain 

e812617b41f6 ubuntu:latest "echo 'hello! I am h 2 hours ago 


Exited (0) 3 minutes ago 
$ docker rm ce554267d7a4 
ce554267d7a4 


默认 情况 下 ，docker rm 命令 只 能 删除 处 于 终止 或 退出 状态 的 容积 ， 
并 不 能 删除 还 处 于 运行 状态 的 容 禹 。 


如 果 要 直接 删除 一 个 运行 中 的 容器 ， 可 以 添加 -{f 参 数 。Docker 会 先 
发 送 SIGKILL 信 号 给 容器 ， 终 止 其 中 的 应 用 ， 之 后 强行 删除 ， 如 下 所 


ZN: 


$ docker run -d ubuntu:14.04 /bin/sh -c "while true; do echo hello world; 
sleep 1; done" 

2aed76caf8292c7da6d24c3c7f3a81a135af942ed1707a79f85955217d4dd594 

$ docker rm 2ae 

Error response from daemon: You cannot remove a running container. Stop the 
container before attempting removal or use -f 

2016/07/03 09:02:24 Error: failed to remove one or more containers 

$ docker rm -f 2ae 

2ae 
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某 些 时 候 ， 需 要 将 容器 从 一 个 系统 迁移 到 另外 一 个 系统 ， 此 时 可 以 
使 用 Docker 的 导入 和 导出 功能 。 这 也 是 Docker 目 身 提供 的 一 个 重要 特 


导出 容器 是 指导 出 一 个 已 经 创建 的 容器 到 一 个 文件 ， 不 管 此 时 这 个 
容器 是 否 处 于 运行 状态 ， 可 以 使 用 docker export 命 令 ， 该 命令 的 格式 为 
docker export[-o|--output[=""]]JCONTAINER。 其 中 ， 可 以 通过 -o 选 项 来 指 
定 导出 的 tar 文 件 名 ， 也 可 以 直接 通过 重 定 回来 实现 。 


ERAMANA, WFP: 


$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t" 3 minutes ago 
Exited (-1) 13 seconds ago determined pike 
d58050081fe3 ubuntu:latest "/bin/bash" About an hour ago 
Exited (0) About an hour ago berserk brattain 
e812617b41f6 ubuntu:latest "echo 'hello! I am h" 2 hours ago 
Exited (0) 3 minutes ago silly leakey 


ie Hn 


分 别 导出 ce554267d7a4 容 器 和 e812617b41f6 容 器 到 文件 


test_for_run.tar 文 件 和 test_for_stop.tar 文 件 : 


$ docker export -o test for run.tar ce5 
$ ls 

test for run.tar 

$ docker export e81 »test for stop.tar 


$ ls 
test for run.tar test for stop.tar 


之 后 ， 可 将 导出 的 tar 文 件 传输 到 其 他 机 如 上 ， 然 后 再 通过 导入 命令 
导入 到 系统 中 ， 从 而 实现 容 右 的 迁移 。 
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导出 的 文件 又 可 以 使 用 docker import 命 令 导 入 变 成 镜像 ， 该 命令 格 
AN: 


docker import [-c|--change[=[]]] [-m|--message[-MESSAGE]] file|URL|-[REPOSITORY 
[:TA6]] 


HP nup ONM -c, -change-[p263U E S AGIS FR]SETAUETOS] S8 XETTÍA 
改 的 Dockerfile 指 令 〈 可 参考 第 8 章 内 容 ) 。 


下 面 将 导出 的 test_for_run.tar 文 件 导 入 到 系统 中 : 


$ docker import test for run.tar - test/ubuntu:v1.0 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test/ubuntu v1.0 9d37a6082e97 . About a minute ago 171.3 MB 


之 前 镜像 章节 中 笔者 曾 介绍 过 使 用 docker load 命 令 来 导入 一 个 镜像 
文件 ， 与 docker import 命 令 十 分 类 似 。 


LME, En MEH docker load 命 令 来 导入 镜像 存储 文件 到 本 地 镜 
像 库 ， 也 可 以 使 用 docker import 命 令 来 导入 一 个 容 禹 快照 到 本 地 镜像 


这 两 者 的 区 别 在 于 容 句 快照 文件 将 丢弃 所 有 的 历史 记录 和 元 数据 信 
电 〈 即 仅 保存 容器 当时 的 快照 状态 ) ， 而 镜像 存储 文件 将 保存 完整 记 
录 ， 体 积 也 更 大 。 此 外 ， 从 容器 快照 文件 导入 时 可 以 重新 指定 标签 等 元 
数据 信息 。 


4.6 ” ”本草 小 结 


通过 本 章 内 容 的 介绍 和 示例 ， 相 信 读 者 很 快 能 掌握 对 容器 整个 生 
命 周 期 进行 管理 的 各 项 操作 命令 。 


在 生产 环境 中 ， 因 为 容器 自身 的 轻 量 级 特性 ， 笔 者 推荐 使 用 容器 
时 在 一 组 容器 前 引入 HA (High Availability， 高 可 靠 性 ) 机 制 。 例 如 使 
用 HAProxy 工 具 来 代理 容器 访问 ， 这 样 在 容器 出 现 故 障 时 ， 可 以 快速 
切换 到 功能 正常 的 容器 。 此 外 ， 建 议 通过 指定 合适 的 容器 重启 策略 ， 
来 自动 重启 退出 的 容器 。 


第 5 章 ”访问 Docker 仓 库 


仓库 (Repository) 是 集中 存放 镜像 的 地 方 ， 分 公共 仓库 和 私有 仓 
库 。 一 个 容易 与 之 混淆 的 概念 是 注册 服务 器 (Registry) 。 实 际 上 注册 
服务 器 是 存放 仓库 的 具体 服务 器 ， 一 个 注册 服务 器 上 可 以 有 多 个 仓 
库 ， 而 每 个 仓库 下 面 可 以 有 多 个 镜像 。 从 这 方面 来 说 ， 可 将 仓库 看 做 
一 个 具体 的 项 目 或 目录 。 例 如 对 于 仓库 地 址 private-docker.com/ubuntu 
来 说 ，private-docker.com 是 注册 服务 絮 地 址 ，ubuntu 是 仓库 名 。 


本 章 将 介绍 如 何 使 用 Docker Hub 官 方 仓库 ， 包 括 登 录 、 下 载 等 基 
本 操作 ， 以 及 如 何 使 用 国内 社区 提供 的 仓库 ， 最 后 介绍 创建 和 使 用 私 
有 仓库 的 基本 操作 。 


5.1 Docker Hub ETAZ M t 


目前 Docker 官 方 维护 了 一 个 公共 镜像 仓库 https:/hub.dockercom， 
其 中 已 经 包括 超过 15000 的 镜像 。 大 部 分 镜像 需求 ， 都 可 以 通过 在 
Docker Hub 中 直接 下 载 镜像 来 实现 ， 如 图 5-1 所 示 。 


1. 登 录 


可 以 通过 命令 行 执行 docker login 命 令 来 输入 用 户 名 、 密 码 和 邮箱 
来 完成 注册 和 登录 。 注 册 成 功 后 ， 本 地 用 户 目 隶 的 .dockercfg 中 将 保存 
用 户 的 认证 信息 。 


登录 成 功 的 用 户 可 以 上 传 个 人 制造 的 镜像 。 


2. 基 本 操作 


用 户 无 需 登 录 即 可 通过 docker search 命 令 来 查找 官方 仓库 中 的 镜 
像 ， 并 利用 docker pull 命 令 来 将 它 下 载 到 本 地 。 


图 5-1 Docker Hub 是 最 大 的 公共 镜像 仓库 


在 搜寻 镜像 的 章节 ， 已 经 具体 介绍 了 如 何 使 用 docker pull 命 令 。 例 
如 以 centos 为 关键 词 进行 搜索 : 


$ docker search centos 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

centos The official build of Centos. 2507 [OK] 
ansible/centos7-ansible | Ansible on Centos7 82 [OK] 
jdeathe/centos-ssh CentOS-6 6.8 x86 64 / CentOS-7 7.2.1511 x8... 27 [OK] 
nimmis/java-centos This is docker images of CentOS 7 with dif... 13 [OK] 


millioni2/centos-supervisor Base CentOS-7 with supervisord launcher, h...12 [OK] 


根据 是 否 为 官方 提供 ， 可 将 这 些 镜像 资源 分 为 两 类 。 一 种 是 类 似 
centos 这 样 的 基础 镜像 ， 称 为 基础 或 根 镜像 。 这 些 镜像 是 由 Docker 公 司 
创建 、 验 证 、 支 持 、 提 供 。 这 样 的 镜像 往往 使 用 单个 单词 作为 名 字 。 


还 有 一 种 类 型 ， 比 如 ansible/centos7-ansible 镜 像 ， 它 是 由 Docker 用 
户 ansible 创 建 并 维护 的 ， 带 有 用 户 名 称 为 前 缀 ， 表 明 是 某 用 户 下 的 某 仓 
库 。 可 以 通过 用 户 名 称 前 缀 user_name/ 镜 像 名 来 指定 使 用 革 个 用 户 提 供 
的 镜像 。 


另外 ， 在 得 找 的 时 候 通过 -s N 参 数 可 以 指定 仅 显 示 评 价 为 N 星 以 上 
的 镜像 。 


下 载 家 方 centos 镜 像 到 本 地 ， 如 下 所 示 : 


$ docker pull centos 

Pulling repository centos 
0b443ba03958: Download complete 
539c0211cd76: Download complete 
511136ea3c5a: Download complete 
7064731afe90: Download complete 


用 户 也 可 以 在 登录 后 通过 docker push 命 令 来 将 本 地 镜像 推送 到 
Docker Hub ? 


Qiz 


Ansible 是 知名 目 动 化 部 署 配置 管理 工具 。 


3. 自 动 创建 


自动 创建 (Automated Builds) 功能 对 于 需要 经 常 升级 镜像 内 程序 
来 说 ， 十 分 方便 。 有 时 候 ， 用 户 创 建 了 镜像 ， 安 装 了 某 个 软件 ， 如 果 


软件 发 布 新 版 本 则 需要 手动 更 新 镜像 。 


而 自动 创建 允许 用 户 通过 Docker Hub 指 定 跟 踪 一 个 目标 网 站 (H 
前 文 持 GitHub 或 BitBucket) 上 的 项 目 ， 一旦 项 目 发 生 新 的 提交 ， 则 自 
动 执 行 创建 。 


要 配置 自动 创建 ， 包 括 如 下 的 步 又: 


1) 创建 并 登录 Docker Hub， 以 及 目标 网 站 ; * 在 目标 网 站 中 连接 
帐户 到 Docker Hub; 


2) 在 Docker Hub 中 配置 一 个 “自动 创建 ”; 
3) 选取 一 个 目标 网 站 中 的 项 目 (需要 含 Dockerfile) 和 分 支 ; 
4) 指定 Dockerfile 的 位 置 ， 并 提交 创建 。 


之 后 ， 可 以 在 Docker Hub 的 “自动 创建 "页面 中 跟踪 每 次 创建 的 状 


AX o 
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5.2. ”时 速 云 镜像 市 场 


国内 不 少 云 服 务 商都 提供 了 Docker 镜 像 市 场 ， 下 面 以 时 速 云 为 例 
( 见 图 5-2) ， 介 绍 如何 使 用 这 些 市 场 。 


解决 方案 fk 。 镜像 广场 äv HX vv XT 


汇聚 国内 外 优秀 的 Docker 镜 像 


O 近 取 /发 布 镜像 


热门 镜像 mm | wm 


® 


Node,js 运 行 时 环境 ， 快 速 部 堵 
Nodejs 应 用 ， 合 示例 代码 ， 开 放 
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图 5-2 时速 云 镜像 市 场 


1. 查 看 镜像 


访问 https:Whub.tenxcloud.com， 即 可 看 到 已 存在 的 仓库 和 存储 的 镜 
像 ， 包 括 Ubuntu、Java、Mongo、MySQL、Nginx 等 热门 仓库 和 镜像 。 
时 速 云 官方 仓库 中 的 镜像 会 保持 跟 DockerHub 中 官方 镜像 的 同步 。 


以 MongoDB 仓 库 为 例 ， 其 中 包括 了 2.6、3.0 和 3.2 等 镜像 。 


2. 下 载 镜 像 


下 载 镜像 也 是 使 用 docker pul 人 命令， 但 是 要 在 镜像 名 称 前 添加 注册 
服务 器 的 具体 地 址 。 格 式 为 


index.tenxcloud.com/<namespace>/<repository>: «tag» ° 


例如 ， 要 下 载 Docker 官 方 仓库 中 的 node: latest 镜 像 ， 可 以 使 用 如 
下 命令 


人 


$ docker pull index.tenxcloud.com/docker library/node:latest 


正常 情况 下 ， 镜 像 下 载 会 比 直 接 从 DockerHub 下 载 快 得 多 。 


通过 docker images 命 令 来 查看 下 载 到 本 地 的 镜像 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED SIZEindex.tenxcloud.com/docker_library/node latest 
e79fe5711c94 4 weeks ago 660.7 MB 


下 载 后 ， 可 以 更 新 镜像 的 标签 ， 与 官方 标签 保持 一 致 ， 方 便 使 
用 : 


$ docker tag index.tenxcloud.com/docker library/node:latest node:latest 


另外 ， 阿 里 云 等 服务 商 也 已 经 捉 供 了 Docker 镜 像 的 下 载 服务 ， 用 
户 可 以 根据 服务 质量 目 行 选择 。 


除了 使 用 这 些 公共 镜像 服务 外 ， 还 可 以 搭建 本 地 的 私有 仓库 服务 
8R. E R 


介绍 。 


5.3 ”搭建 本 地 私有 仓库 


1. 使 用 registry 镜 像 创建 私有 仓库 


安装 Docker 后 ， 可 以 通过 官方 提供 的 registry 锐 像 来 简单 搭建 一 套 
本 地 私有 仓库 环境 : 


$ docker run -d -p 5000:5000 registry 


这 将 自动 下 载 并 启动 一 个 registry 容 器 ， 创 建 本 地 的 私有 仓库 服 
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过 -v 参 数 来 将 镜像 文件 存放 在 本 地 的 指定 路 径 。 


例如 下 面 的 例子 将 上 传 的 镜像 放 到 /opt/data/registry 目 录 : 
$ docker run -d -p 5000:5000 -v /opt/data/registry:/tmp/registry registry 
此 时 ， 在 本 地 将 启动 一 个 私有 仓库 服务 ， 监 昕 端口 为 5000 。 


2. 管 理 私有 仓库 


首先 在 本 书 环境 的 笔记 本 上 (Linx Mint) 搭建 私有 仓库 ， 查 看 
其 地 址 为 10.0.2.2: 5000。 然 后 在 虚拟 机 系统 (Ubuntu 14.04) 里 测试 
上 传 和 下 载 镜像 。 


在 Ubuntu 14.04 系 统 查看 已 有 的 镜像 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker tag 命 令 将 这 个 镜像 标记 为 10.0.2.2: 5000/test. (格式 为 
docker tag IMAGE[: TAG][REGISTRYHOST/][USERNAME/]NAMEJ[: 
TAG]) 


$ docker tag ubuntu:14.04 10.0.2.2:5000/test 
$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker push 上 传 标 记 的 镜像 : 


$ docker push 10.0.2.2:5000/test 

The push refers to a repository [10.0.2.2:5000/test] (len: 1) 

Sending image list 

Pushing repository 10.0.2.2:5000/test (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image 9bad880da3d2 already pushed, skipping 

Image 25f11f5fbocb already pushed, skipping 

Image ebc34468f71d already pushed, skipping 

Image 2318d26665ef already pushed, skipping 

Image ba5877dc9bec already pushed, skipping 

Pushing tag for rev [ba5877dc9bec] on 
(http://10.0.2.2:5000/v1/repositories/test/tags/latest) 


用 curl 查 看 仓库 10.0.2.2: 5000 中 的 镜像 : 


$ curl http://10.0.2.2:5000/v1/search 


("num results": 1, "query": "", "results": [("description": "", "name": "library/ 
test"3]) 
在 结果 中 可 以 看 到 {"description": "", "name": "library/test"), % 


明镜 像 已 经 成 功 上 传 了 。 现 在 可 以 到 任意 一 台 能 访问 到 10.0.2.2 地 址 的 
机 器 去 下 载 这 个 镜像 了 。 


比较 新 的 Docker 版 本 对 安全 性 要 求 较 高 ， 会 要 求 仓库 支持 
SSLATLS 证 书 。 对 于 内 部 使 用 的 私有 仓库 ， 可 以 上 自行 配置 证 书 或 关闭 
对 仓库 的 安全 性 检查 。 


Bt. fÉPXDocker daemon 的 局 动 参数 ， 添 加 如 下 参数 ， 表 示 信 任 
这 个 私有 仓库 ， 不 进行 安全 证 书 检查 : 


DOCKER_OPTS="--insecure-registry 10.0.2.2:5000" 


之 后 重 局 Docker 服 务 ， 并 从 私有 仓库 中 下 载 镜像 到 本 地 : 


$ sudo service docker restart 

$ docker pull 10.0.2.2:5000/test 

Pulling repository 10.0.2.2:5000/test 

ba5877dc9bec: Download complete 

511136ea3c5a: Download complete 

9bad880da3d2: Download complete 

25f11f5fbocb: Download complete 

ebc34468f71d: Download complete 

2318d26665ef: Download complete 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


下 载 后 ， 还 可 以 添加 一 个 更 通用 的 标签 ubuntu: 14.04: 


$ docker tag 10.0.2.2:5000/test ubuntu:14.04 
LSJ 
Qus 


如 果 要 使 用 安全 证 书 ， 用 户 也 可 以 从 较 知 名 的 CA 服务 商 (如 
verisign) 申请 公开 的 SSL/TLS 证 书 ， 或 者 使 用 openssl 等 软件 来 自行 生 
DE 
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仓库 概念 的 引入 ， 为 Docker 镜 像 文件 的 分 发 和 管理 提供 了 便捷 的 
途径 。 本 章 介 绍 的 Docker Hub 和 时 速 云 镜像 市 场 两 个 公共 仓库 服务 ， 
可 以 方便 个 人 用 户 进行 镜像 的 下 载 和 使 用 等 操作 。 


在 企业 的 生产 环境 中 ， 则 往往 需要 使 用 私有 仓库 来 维护 内 部 镜 
像 。 在 后 续 部 分 中 ， 将 介绍 私有 仓库 的 更 多 配置 选项 。 


第 6 草 Docker E IE 


生产 环境 中 使 用 Docker 的 过 程 中 ， 往 往 需 要 对 数据 进行 持久 化 ， 
或 者 需要 在 多 个 容 絮 之 间 进 行 数据 共 诗 ， 这 必然 涉及 容器 的 数据 管理 
操作 。 


容 絮 中 管理 数据 主要 有 两 种 方式 ;: 


数据 卷 (Data Volumes) : 容器 内 数据 直接 映射 到 本 地 主机 环 
E 


.数据 卷 容器 (Data Volume Containers) : 使 用 特定 容器 维护 数据 
着 o 


本 章 将 首先 介绍 如 何在 容器 内 创建 数据 卷 ， 并 且 把 本 地 的 目录 或 
文件 挂 载 到 容 絮 内 的 数据 卷 中。 接 下 来 ， 会 介绍 如 何 使 用 数据 郑 容 右 
在 容器 和 主机 、 容 右 和 容器 之 间 共 至 数据 ， 并 实现 数据 的 备份 和 恢 
复 。 


6.1 数据 卷 

数据 卷 是 一 个 可 供 容器 使 用 的 特殊 目录 ， 它 将 主机 操作 系统 目录 
直接 映射 进 容器 ， 类 似 于 Linux 中 的 mount 控 作 。 

数据 卷 可 以 提供 很 多 有 用 的 特性 ， 如 下 所 示 : 


-数据 卷 可 以 在 容器 之 间 共 享 和 重用 ， 容 右 间 传递 数据 将 变 得 融 效 
23485 


-对 数据 卷 内 数据 的 修改 会 立马 生效 ， 无 论 是 容器 内 操作 还 是 本 地 
TRE; 


-对 数据 卷 的 更 新 不 会 影响 镜像 ， 解 耦 了 应 用 和 数据 ; 
- 卷 会 一 直 存 在 ， 直 到 没有 容 紫 使用， 可 以 安全 地 地 载 它 。 
1. 在 容 吉 内 创建 一 个 数据 卷 


在 用 docker run 命 令 的 时 候 ， 使 用 -v 标 记 可 以 在 容器 内 创建 一 个 数 
据 卷 。 多 次 重复 使 用 -v 标 记 可 以 创建 多 个 数据 卷 。 


下 面 使 用 training/webapp 镜 像 创建 一 个 web 容 器 ， 并 创建 一 个 数据 
卷 挂 载 到 容 絮 的 /webapp 目 录 : 


$ docker run -d -P --name web -v /webapp training/webapp python app.py 


Qus 
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2. 挂 载 一 个 主机 目录 作为 数据 卷 


使 用 -v 标 记 也 可 以 指定 挂 载 一 个 本 地 的 已 有 目录 到 容器 中 去 作为 
数据 卷 推荐 方式 ) 


$ docker run -d -P --name web -v /src/webapp:/opt/webapp training/webapp python 
app.py 


上 面 的 命令 加 载 主 机 的 /src/webapp 目 录 到 容器 的 /opt/webapp 日 
E 

这 个 功能 在 进行 测试 的 时 候 十 分 方便 ， 比 如 用 户 可 以 将 一 些 程序 
或 数据 放 到 本 地 目录 中 ， 然 后 在 容器 内 运行 和 使 用 。 另 外 ， 本 地 目录 
的 路 径 必须 是 绝对 路 径 ， 如 果 目 了 永 不 存在 Docker， 会 目 动 创建 。 

Docker 挂 载 数据 卷 的 默认 权限 是 读 写 (rw) ， 用 户 也 可 以 通过 ro 
指定 为 只 读 


$ docker run -d -P --name web -v /src/webapp:/opt/webapp:ro 
training/webapp python app.py 


MT: ro 之 后 ， 容 右 内 对 所 挂 载 数据 卷 内 的 数据 就 无 法 修改 了 。 
3. 挂 载 一 个 本 地 主机 文件 作为 数据 卷 


-Vv 标 记 也 可 以 从 主机 挂 载 单个 文件 到 容器 中 作为 数据 卷 (不 推 
T) 。 


$ docker run --rm -it -v -/.bash history:/.bash history ubuntu /bin/bash 
这 样 束 可 以 记录 在 容 如 输入 过 的 命令 历史 了 。 
Qus 


如 果 和 直接 挂 载 一 个 文件 到 容器 ， 使 用 文件 编辑 工具 ， 包 括 vi 或 者 
BO, 可 能 会 造成 文件 node 的 改变 ， 从 Docker 1.1.0 
起 ， 这 会 导致 报错 误 信 息 。 上 所 以 推荐 的 方式 是 直接 挂 载 文件 所 在 的 目 
KE o 
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征 专门 用 来 提供 数据 卷 供 其 他 容 需 挂 载 。 


首先 ， 创 建 一 个 数据 卷 容 器 dbdata， 并 在 其 中 创建 一 个 数据 卷 挂 
载 到 /dbdata: 


$ docker run -it -v /dbdata --name dbdata ubuntu 
rootQ3ed94f279b6f:/4 


fi &/dbdata H 5x: 


rootQ3ed94f279b6f:/£ ls 
bin boot dbdata dev etc home lib lib64 media mnt opt proc root run 
sbin srv sys tmp usr var 


然后 ， 可 以 在 其 他 容器 中 使 用 --volumes-from 来 挂 载 dbhdata 容 器 中 
的 数据 卷 ， 例 如 创建 db1 和 db2 两 个 容器 ， 并 从 dbdata 容 器 挂 载 数据 
es 


$ docker run -it --volumes-from dbdata --name dbi ubuntu 
$ docker run -it --volumes-from dbdata --name db2 ubuntu 


此 时 ， 容 器 db1 和 db2 都 挂 载 同一 个 数据 卷 到 相同 的 /dbdata 目 未 。 
三 个 容器 任何 一 方 在 该 目录 下 的 写 入 ， 其 他 容器 都 可 以 看 到 e 


例如 ， 在 dbdata 容 器 中 创建 一 个 test 文 件 ， 如 下 所 示 : 


root@3ed94f279b6f:/# cd /dbdata 
root@3ed94f279b6f:/dbdata# touch test 
root@3ed94f279b6f:/dbdata# ls 

test 


在 db1l 容 器 内 查看 它 : 


$ docker run -it --volumes-from dbdata --name dbi ubuntu 


root84128d2d804b4:/£ ls 
bin boot dbdata dev etc home lib lib64 media mnt opt proc root run 


sbin srv sys tmp usr var 
root04128d2d804b4:/4 ls dbdata/ 
test 


可 以 多 次 使 用 --volumes-from 参 数 来 从 多 个 容器 挂 载 多 个 数据 卷 。 
还 可 以 从 其 他 已 经 挂 载 了 容 融 卷 的 容 融 来 挂 载 数据 卷 。 


Qux 
使 用 -volumes-from 参 数 所 挂 载 数据 卷 的 容器 自身 并 不 需要 保持 在 
运行 状态 。 


如 果 删 除了 挂 载 的 容器 (包括 dbdata、db1 和 db2) ， 数 据 卷 并 不 
会 被 自动 删除 。 如 果 要 删除 一 个 数据 卷 ， 必 须 在 删除 最 后 一 个 还 挂 载 
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着 它 的 容器 时 显 式 使 用 docker rm-v 命 令 来 指定 同时 删除 关联 的 容器 。 


使 用 数据 卷 容 器 可 以 让 用 户 在 容器 之 间 目 由 地 升级 和 移动 数据 
卷 。 具 体 的 操作 将 在 下 一 市 中 讲解 。 


6.3 利用 数据 卷 容 需 来 迁移 数据 

可 以 利用 数据 卷 容器 对 其 中 的 数据 卷 进行 备份 、 恢 复 ， 以 实现 数 
据 的 迁移 。 下 面 介 绍 这 两 个 操作 。 

1. 备 份 

使 用 下 面 的 命令 来 备份 dbdata 数 据 卷 容器 内 的 数据 卷 : 


$ docker run --volumes-from dbdata -v $(pwd):/backup --name worker ubuntu tar 
cvf /backup/backup.tar /dbdata 


这 个 命令 稍微 有 点 复杂 ， 有 具体 分 析 一 下 。 首 先 利 用 ubuntu 镜像 创 
建 了 一 个 容 絮 worker。 使 用 --volumes-from dbdata 参 数 来 让 worker 容 器 
挂 载 dbdata 容 器 的 数据 卷 〈 即 dbdata 数 据 卷 ) ;使 用 -v$(pwd):/backup 参 
数 来 挂 载 本 地 的 当前 目录 到 worker 容 絮 的 /backup 目 录 。 


worker 容 局 局 动 后 ， 使 用 了 tar cvf/backup/backup.tar/dbdata 命 令 来 
将 /dbdata 下 内 容 备 份 为 容器 内 的 /backup/backup.tar， 即 宿主 主机 当前 
目录 下 的 backup.tar ° 


2. 恢 复 


如 采 要 将 数据 恢复 到 一 个 容 做 ， 可 以 按照 下 面 的 步骤 操作 。 肯 先 
创建 一 个 市 有 数据 卷 的 容器 dbdata2: 


$ docker run -v /dbdata --name dbdata2 ubuntu /bin/bash 


然后 创建 另 一 个 新 的 容器 ， 挂 载 dbdata2 的 容器 ， 并 使 用 untar 解 压 
备份 文件 到 所 挂 载 的 容 秀 眷 中 : 


$ docker run --volumes-from dbdata2 -v $(pwd):/backup busybox tar xvf 
/backup/backup.tar 
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数据 是 最 宝贵 的 资源 。Docker 在 设计 上 考虑 到 了 这 点 ， 为 数据 管 
理 提供 了 充分 的 操作 文 持 。 


本 章 介绍 了 通过 数据 卷 和 数据 卷 容 器 对 容器 内 数据 进行 共 诗 、 备 
份 和 恢复 等 操作 ， 通 过 这 些 机 制 ， 即 使 容器 在 运行 中 出 现 故 障 ， 用 户 
也 不 必 担 心 数 据 发 生 丢 失 ， 只 需要 快速 地 重 狐 创建 容 右 即 可 。 


在 生产 环境 中 ， 笔 者 推荐 在 使 用 数据 卷 或 数据 卷 容 絮 之 外 ， 定 期 
将 主机 的 本 地 数据 进行 备份 ， 或 者 使 用 支持 容错 的 存储 系统 ， 包 括 
RAID 或 分 布 式 文件 系统 如 Ceph、GPFS、HDFS 等 。 


第 7 章 ”端口 映射 与 容 右 互联 


通过 前 面 儿 章 的 学 习 ， 相 信 读 者 已 经 掌握 了 单个 容器 的 管理 操 
作 。 在 实践 中 ， 经 常会 碰 到 需要 多 个 服务 组 件 容 右 共同 协作 的 情况 ， 
这 往往 需要 多 个 容 右 之 间 有 能 够 互相 访问 到 对 方 的 服务 。 


除了 通过 网 络 访问 外 ，Docker 还 提供 了 两 个 很 方便 的 功能 来 满足 
服务 访问 的 基本 需求 : 一 个 是 允许 映射 容 亏 内 应 用 的 服务 端口 到 本 地 
答 主 主机 ;， 男 一 个 是 互联 机 制 实现 多 个 容器 间 通 过 容器 名 来 快速 访 
问 。 本 章 将 分 别 讲解 这 两 个 很 实用 的 功能 。 
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1. 从 外 部 访问 容器 应 用 


在 局 动容 器 的 时 候 ， 如 果 不 指定 对 应 的 参数 ， 在 容器 外 部 是 无 法 
通过 网 络 来 访问 容器 内 的 网 络 应 用 和 服务 的 。 
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当 容 器 中 运行 一 些 网 络 应 用 ， 要 让 外 部 访问 这 些 应 用 时 ， 可 以 通 
过 -P 或 -p 参 数 来 指定 端口 映 映 。 当 使 用 -P (大 写 的 ) 标记 时 ，Docker 
会 随机 映 射 一 个 49000~49900 的 端口 到 内 部 容器 开放 的 网 络 端口 : 
$ docker run -d -P training/webapp python app.py 
$ docker ps -1 
CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 


bc533791f3f5  training/webapp:latest python app.py 5 seconds ago Up 2 seconds 
0.0.0.0:49155-255000/tcp nostalgic morse 


此 时 ， 可 以 使 用 docker ps 看 到 ， 本 地 主机 的 49155 被 映射 到 了 容器 
的 5000 端 口 。 访 问 宿主 主机 的 49155 端 口 即 可 访问 容器 内 Web 应 用 提供 
的 界面 。 


同样 ， 可 以 通过 docker logs 命 令 来 查看 应 用 的 信息 : 


$ docker logs -f nostalgic morse 

* Running on http://0.0.0.0:5000/ 

10.0.2.2 - - [23/May/2014 20:16:31] "GET / HTTP/1.1" 200 - 

10.0.2.2 - - [23/May/2014 20:16:31] "GET /favicon.ico HTTP/1.1" 404 - 


-p (小 写 的 ) 可 以 指定 要 映射 的 端口 ， 并 且 ， 在 一 个 指定 端口 上 
只 可 以 绑 定 一 个 容 右 。 支 持 的 格式 有 IP: HostPort: 


ContainerPort|[IP: : ContainerPort|HostPort: ContainerPort ° 
2. 映 财 所 有 接口 地 址 


使 用 HostPort: ContainerPort 格 式 将 本 地 的 5000 端 口 映 射 到 容 吉 的 
5000 端 口 ， 可 以 执行 : 


$ docker run -d -p 5000:5000 training/webapp python app.py 


此 时 默认 会 绑 定 本 地 所 有 接口 上 的 所 有 地 址 。 多 次 使 用 -p 标 记 可 
以 绑 定 多 个 端口 。 例 如 ; 


$ docker run -d -p 5000:5000 -p 3000:80 training/webapp python app.py 


3. BET SIHTR XE HERI E XE A 


可 以 使 用 IP: HostPort: ContainerPort 格 式 指 定 映 射 使 用 一 个 特定 
地 址 ， 比 如 localhost 地 址 127.0.0.1: 


$ docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py 


4. 映 射 到 指定 地 址 的 任意 端口 


使 用 IP: : ContainerPort 绑 定 localhost 的 任意 端口 到 容器 的 5000 端 
口 ， 本 地 主机 会 目 动 分 配 一 个 端口 : 


$ docker run -d -p 127.0.0.1::5000 training/webapp python app.py 
还 可 以 使 用 udp 标 记 来 指定 udp 端 口 : 

$ docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py 
5. 碍 看 映射 端口 配置 


使 用 docker port 命 令 来 查看 当前 映射 的 端口 配置 ， 也 可 以 碍 看 到 
绑 定 的 地 址 : 


$ docker port nostalgic morse 5000 
127.0.0.1:49155. 


Qux 


容 絮 有 上 自己 的 内 部 网 络 和 IP 地 址 ， 使 用 docker inspect+ 容 右 ID 可 以 
获取 容 姻 的 具体 信息 。 


7.2 互联 机 制 实现 便 捷 互 访 

容器 的 互联 (linking) 是 一 种 让 多 个 容器 中 应 用 进行 快速 交互 的 
方式 。 它 会 在 源 和 接收 容 絮 之 间 创 建 连 授 关系 ， 接 收容 絮 可 以 通过 容 
改名 快速 访问 到 源 容 颖 ， 而 不 用 指定 具体 的 IP 地 址 。 


连接 系统 依据 容器 的 名 称 来 执行 。 因 此 ， 首 先 需 要 定义 一 个 好 记 
的 容器 名 字 。 


H 


虽然 当 创 建 容 禹 的 时 候 ， 系 统 默认 会 分 配 一 个 名 字 ， 但 目 定义 容 
船 名 字 有 两 个 好 处 : 


. 自 定义 的 命名 比较 好 记 ， 比 如 一 个 web 应 用 容器 ， 我 们 可 以 给 它 
起 名 叫 web， 一 目 了 然 ; 


: 当 要 连接 其 他 容器 上 时， 即便 重启 ， 也 可 以 使 用 容器 名 而 不 用 改 
变 ， 比 如 连接 web 容 器 到 db 容器 


使 用 --name 标 记 可 以 为 容器 目 定 义 命名 : 


$ docker run -d -P --name web training/webapp python app.py 


使 用 docker ps 来 验证 设 定 的 命名 : 


$ docker ps -1 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 

aed84ee21bde training/webapp:latest python app.py 12 hours ago Up 2 seconds 
0.0.0.0:49154-255000/tcp web 


也 可 以 使 用 docker inspect 来 查看 容器 的 名 字 : 


$ docker inspect -f "{{ .Name 3)" aed84ee21bde 
/web 


Qus 


容器 的 名 称 是 唯一 的 。 如 果 已 经 命名 了 一 个 叫 web 的 容器 ， 当 你 
要 再 次 使 用 web 这 个 名 称 的 时 候 ， 需 要 先 用 docker rm 来 删除 之 前 创建 
的 同名 容器 。 


在 执行 docker run 的 时 候 如 果 添 加 --rm 标 记 ， 则 容器 在 终止 后 会 立 
刻 删 除 。 注 意 ，--rm 和 -d 参 数 不 能 同时 使 用 。 


d ALHA 


Dm 


ra 


使 用 --link 参 数 可 以 让 容 融 之 间 安 全 地 进行 交互 。 


下 面 先 创建 一 个 新 的 数据 库容 郁 : 


$ docker run -d --name db training/postgres 


删除 之 前 创建 的 web 容 器 : 


$ docker rm -f web 


然后 创建 一 个 新 的 web 容 器 ， 并 将 它 连接 到 db 容器 : 


$ docker run -d -P --name web --link db:db training/webapp python app.py 


此 时 ，db 容 器 和 web 容 器 建立 互联 关系 : 


--link 参 数 的 格式 为 --link name: aliass， 其 中 name 是 要 连接 的 容器 


名 称 ，alias 是 这 个 连接 的 别名 。 
使 用 docker ps 来 查看 容 絮 的 连接 ， 如 下 所 示 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

349169744e49 training/postgres:latest su postgres -c '/usr About a minute 
ago Up About a minute 5432/tcp db, web/db 

aed84ee21bde training/webapp:latest python app.py 16 hours ago Up 2 
minutes 0.0.0.0:49154->5000/tcp web 


可 以 看 到 自 定义 命名 的 容器 ，db 和 web，db 容 器 的 names 列 有 db 也 
有 web/db。 这 表示 web 容 器 连接 到 db 容器 ， 这 人 允许 web 容 器 访问 db 容器 
的 信息 。 


Docker 相 当 于 在 两 个 互联 的 容 絮 之 间 创 建 了 一 个 虚 机 通道 ， 而 且 
不 用 映射 它们 的 端口 到 得 主 主 机 上 “。 在 局 动 由 容 硕 的 时 候 并 没有 使 用 - 


p 和 -P 标 记 ， 从 而 避免 了 桑 露 数据 库 服 务 端 口 到 外 部 网 络 上 。 
Docker 通 过 两 种 方式 为 容器 公开 连接 信息 : 
更 新 环境 变量 ; 
:更 新 /etc/hosts 文 件 。 


使 用 env 命 令 来 查看 web 容 器 的 环境 变 


fh 


$ docker run --rm --name web2 --link db:db training/webapp env 


DB_NAME=/web2/db 
DB_PORT=tcp://172.17.0.5:5432 
DB_PORT_5000_TCP=tcp://172.17.0.5:5432 
DB PORT 5000 TCP PROTO-tcp 

DB PORT 5000 TCP PORT-5432 

DB PORT 5000 TCP ADDR-172.17.0.5 


其 中 DB_ 开 头 的 环境 变量 是 供 web 容 器 连接 db 容器 使 用 的 ， 前 组 
采用 大 写 的 连接 别名 。 


除了 环境 变量 之 外 ，Docker 还 添加 host 信 息 到 父 容器 的 /etc/hosts 文 
件 。 下 面 是 父 容器 Web 的 hosts 文 件 : 


$ docker run -t -i --rm --link db:db training/webapp /bin/bash 
rootQaed84ee21bde:/opt/webappz cat /etc/hosts 
172.17.0.7  aed84ee21bde 


172.17.0.5 db 


这 里 有 两 个 hosts 信 息 ， 第 一 个 是 web 容 器 ，web 容 器 用 自己 的 id 作 
为 默认 主机 名 ， 第 二 个 是 db 容 絮 的 IP 和 主机 名 。 可 以 在 web 容 磊 中 安 
装 ping 命 令 来 测试 与 db 容 絮 的 连通 : 

root@aed84ee21bde:/opt/webapp# apt-get install -yqq inetutils-ping 
root@aed84ee21bde:/opt/webapp# ping db 

PING db (172.17.0.5): 48 data bytes 

56 bytes from 172.17.0.5: icmp seq-0 ttl-64 time-0.267 ms 


56 bytes from 172.17.0.5: icmp seq-1 ttl-64 time-0.250 ms 
56 bytes from 172.17.0.5: icmp seq-2 ttl-64 time-0.256 ms 


用 ping 来 测试 db 容器 ， 它 会 解析 成 172.17.0.5。 用 户 可 以 连接 多 个 
子 容器 到 父 容 右 ， 比 如 可 以 连接 多 个 web 到 同一 个 db 容器 上 。 


7.3. 本章 小 结 


这 无 疑问 ， 容 怖 服务 的 访问 是 很 关键 的 一 个 用 途 。 本 章 通 过 具体 
案例 讲解 了 Docker 容 右 服 务 访问 的 两 大 基本 操作 ， 包 括 基 础 的 容器 闪 
口 映 射 机 制 和 容器 互联 机 制 。 同 时 ，Docker 目 前 可 以 成 熟地 支持 Linux 
系统 目 市 的 网 络 服务 和 功能 ， 这 有 既 可 以 利用 现 有 成 熟 的 技术 提供 稳定 
文 持 ， 又 可 以 实现 快速 的 高 性 能 转发 。 


在 生产 环境 中 ， 网 络 方面 的 需求 更 加 复杂 多 变 ， 包 括 路 主机 甚至 
器 数据 中 心 的 通信 ， 这 时 候 往往 惑 需 要 引入 额外 的 机 制 ， 例 如 SDN 
(软件 定义 网 络 ) 或 NFV 《网 络 功能 虚拟 化 ) 的 相关 技术 。 


本 书 的 第 三 部 分 将 进一步 探讨 如 何 通过 libnetwork 来 实现 跨 主 机 的 
容器 通信 ， 以 及 Docker 网 络 的 高 级 功能 和 配置 。 


"Bax ”使 用 Dockerfile 创 建 镜 像 


Dockerfile 是 一 个 文本 格式 的 配置 文件 ， 用 户 可 以 使 用 Dockerfile 
来 快速 创建 目 定 义 的 镜像 。 


本 章 首 移 介 绍 Dockerfile 典 型 的 基本 结构 和 它 文 持 的 众多 指令 ， 并 
具体 讲解 通过 这 些 指令 来 编写 定制 镜像 的 Dockerfile， 以 及 如 何 生成 镜 


像 。 最 后 介绍 使 用 Dockerfile 的 一 些 最 佳 实践 经 验 。 


8.1 基本 结构 


Dockerfile 由 一 行 行 命令 语句 组 成 ， 并 且 支 持 以 # 开 头 的 注释 行 。 


一 般 而 言 ，Dockerfile 分 为 四 部 分 : 基础 镜像 信息 、 维 护 者 信息 、 
镜像 操作 指令 和 容 吉 局 动 时 执行 指令 。 例 如 : 


# This Dockerfile uses the ubuntu image 
# VERSION 2 - EDITION 1 
# Author: docker user 
# Command format: Instruction [arguments / command] .. 
# Base image to use, this must be set as the first line 
FROM ubuntu 
4 Maintainer: docker user «docker user at email.com» (Qdocker user) 
MAINTAINER docker user docker userQemail.com 
# Commands to update the image 
RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> 
/etc/apt/ 
sources.list 
RUN apt-get update && apt-get install -y nginx 
RUN echo "Nndaemon off;" >> /etc/nginx/nginx.conf 
# Commands when creating a new container 
CMD /usr/sbin/nginx 


其 中 ， 一 开始 必须 指明 所 基于 的 镜像 名 称 ， 接 下 来 一 般 是 说 明 维 
护 者 信息 。 后 面 则 是 镜像 操作 指令 ， 例 如 RUN 指 令 ，RUN 指 令 将 对 镜 
像 执 行 跟随 的 命令 。 每 运行 一 条 RUN 指 令 ， 镜 像 就 添加 新 的 一 层 ， 并 
提交 。 最 后 是 CMD 指 令 ， 用 来 指定 运行 容 侣 时 的 操作 命令 


下 面 是 Docker Hub 上 两 个 热门 镜像 的 Dockerfile 的 例子 ， 可 以 帮助 
读者 对 Dockerfile 结 构 有 个 基本 的 认识 。 


第 一 个 例子 是 在 debian: jessie 基 础 镜像 基础 上 安装 Nginx 环 境 ， 从 
而 创建 一 个 新 的 nginx 镜 像 : 


FROM debian:jessie 
MAINTAINER NGINX Docker Maintainers "docker-maint@nginx.com" 
ENV NGINX VERSION 1.10.1-1-jessie 
RUN apt-key adv --keyserver hkp://pgp.mit.edu:80 --recv-keys 573BFD6B3D8FBC64107 
9A6ABABF5BD827BD9BF62 \ 
&& echo "deb http://nginx.org/packages/debian/ jessie nginx" »» /etc/ 
apt/sources.list \ 
&& apt-get update \ 
&& apt-get install --no-install-recommends --no-install-suggests -y \ 
ca-certificates \ 
nginx-$(NGINX VERSION) \ 
nginx-module-xslt \ 
nginx-module-geoip \ 
nginx-module-image-filter \ 
nginx-module-perl \ 
nginx-module-njs \ 
gettext-base \ 
&& rm -rf /var/lib/apt/lists/* 
# forward request and error logs to docker log collector 
RUN 1n -sf /dev/stdout /var/log/nginx/access.log \ 
&& ln -sf /dev/stderr /var/log/nginx/error.log 
EXPOSE 80 443 
CMD ["nginx", "-g", "daemon off;"] 


" 
RE 


第 二 个 例子 是 基于 buildpack-deps: jessie-scm 基 础 镜像 ， 
Golang 相 关 环 境 ， 制 作 一 个 GO 语言 的 运行 环境 镜像 : 


FROM buildpack-deps:jessie-scm 
# gcc for cgo 
RUN apt-get update && apt-get install -y --no-install-recommends \ 
g++ \ 
gcc \ 
libc6-dev \ 
make \ 
&& rm -rf /var/lib/apt/lists/* 
ENV GOLANG_VERSION 1.6.3 
ENV GOLANG_DOWNLOAD_URL https://golang.org/dl/go$GOLANG_VERSION. linux- 
amd64.tar.gz 
ENV GOLANG DOWNLOAD SHA256 cdde5e08530c0579255d6153b08fdb3b8e47caabbe717bc7bcd 
7561275a87aeb 
RUN curl -fsSL "$GOLANG DOWNLOAD URL" -o golang.tar.gz \ 
&& echo "$GOLANG DOWNLOAD SHA256  golang.tar.gz" | sha256sum -c - * 
&& tar -C /usr/local -xzf golang.tar.gz \ 
&& rm golang.tar.gz 
ENV GOPATH /go 
ENV PATH $GOPATH/bin:/usr/1local/go/bin:S$PATH 


RUN mkdir -p "$GOPATH/src" "$GOPATH/bin" && chmod -R 777 "$GOPATH" 
WORKDIR $GOPATH 
COPY go-wrapper /usr/local/bin/ 


下 面 将 讲解 Dockerfile 中 各 种 指令 的 应 用 。 


8.2 ”指令 说 明 


和 令 的 一 般 格式 为 INSTRUCTION arguments， 指 令 包 括 FROM ` 


MAINTAINER、RUN 等 ， 参 见 表 8-1 ° 


表 8-1 Dockerfile 指 令 说 明 


指 令 说 明 
FROM 指定 所 创建 镜像 的 基础 镜像 
MAINTAINER 指定 维护 者 信息 
RUN 运行 命令 
CMD 指定 局 动容 器 时 默认 执行 的 命令 
TARRT § 定 生成 镜像 的 元 数据 祭 签 信息 
EXPOSE 声明 镜像 内 服务 所 监听 的 端口 
ENV 者 定 环境 变量 


复制 指定 的 «src 路 径 下 的 内 容 到 容器 中 的 «dest» 路 径 下 ，<sre> 可 以 为 URL ; 如果 为 


-= ta 文件， 会 自动 解压 到 <dest> 路 径 下 
— 复制 本 地 主机 的 <sre> 路 径 下 的 内 容 到 饶 像 中 的 <dest 路 径 下 ; 一 般 情 况 下 推荐 使 用 
COPY, ， 而 不 是 AD 
ENTRYPOINT 指定 镜像 的 默认 入 口 
VOLUME 创建 数据 卷 挂 载 点 
USER 指定 运行 容器 时 的 用 户 名 或 UID 
(AE) 
指 4 - 
WORKDIR 配置 工作 目录 
ARG 指定 镜像 内 使 用 的 参数 【例如 版 本 号 信息 等 ) 
ONBUILD 配置 当 所 创建 的 镜像 作为 其 他 镜像 的 基础 镜像 时 ， 所 执行 的 创建 操作 指令 
STOPSIGNAL 容器 退出 的 信号 值 
HEALTHCHECK 如 何 进 行 健 康 检查 
SHELL 指定 使 用 shell 时 的 默认 shell 类 型 


1.FROM 


指定 所 创建 镜像 的 基础 镜像 ， 如 果 本 地 不 存在 ， 则 默认 会 去 


Docker Hub 下 载 指定 镜像 。 


格式 为 FROM<image>， 或 FROM<image>: <tag>， 或 


FROM<image>@<digest>。 


任何 Dockerfile 中 的 第 一 条 指令 必须 为 FROM 指令 。 并 且 ， 如 果 在 
同一 个 Dockerfile 中 创建 多 个 镜像 ， 可 以 使 用 多 个 FROM 指令 (每 个 镜 
RA S 

2.MAINTAINER 


指定 维护 者 信息 ， 格 式 为 MAINTAINER<name>。 例 如 : 
MAINTAINER image creatorQdocker.com 


信息 会 写 入 生成 镜像 的 Author 属 性 域 中 。 


S 


格式 为 RUN<command> 或 
RUN["executable"，"param1"，"param2"]。 注 意 ， 后 一 个 指令 会 被 解析 


为 Json 数 组 ， 因 此 必须 用 双 引 号 。 


前 者 默认 将 在 shell 终 端 中 运行 命令 ， 即 /bin/sh-c; 后 者 则 使 用 exec 
执行 ， 不 会 启动 shell 环 境 。 


指定 使 用 其 他 终端 类 型 可 以 通过 第 二 种 方式 实现 ， 例 如 
RUN["/bin/bash", "-c", "echo hello"] ? 


每 条 RUN 指 令 将 在 当前 镜像 的 基础 上 执行 指定 命令 ， 并 提交 为 新 
的 镜像 。 当 命令 较 长 时 可 以 使 用 \ 来 换行 。 例 如 : 


RUN apt-get update \ 
&& apt-get install -y libsnappy-dev zlibig-dev libbz2-dev \ 
&& rm -rf /var/cache/apt 


4.CMD 


CMD 指 令 用 来 指定 局 动容 器 时 默认 执行 的 命令 。 它 支持 三 种 格 
A 


-CMD["executable"，"param1"，"param2"] 使 用 exec 执 行 ， 是 推荐 使 
用 的 方式 ; 


:CMD command param1 param2 在 /bin/sh 中 执行 ， 提 供给 需要 交互 
的 应 用 ; 


-CMD["param1"，"param2"] 提 供给 ENTRYPOINT 的 默认 参数 。 


每 个 Dockerfile 只 能 有 一 条 CMD 命 令 。 如 果 指定 了 多 条 命令 ， 只 有 


最 后 一 条 会 被 执行 。 


如 采用 户 启 动容 絮 时 手动 指定 了 运行 的 命令 〈 作 为 run 的 参数 ) ， 


则 会 覆盖 挥 CMD 指 定 的 命令 。 
5.LABEL 
LABEL 指 令 用 来 指定 生成 镜像 的 元 数据 标签 信息 。 
格式 为 LABEL<key>=<value><key>=<value><key>=<value>...。 
例如 : 


LABEL version="1.0" 
LABEL description="This text illustrates \ that label-values can span multiple 
lines." 


6.EXPOSE 

声明 镜像 内 服务 所 监听 的 端口 。 
格式 为 EXPOSE<port>[<port>...] 。 
例如 : 


EXPOSE 22 80 8443 


注意 ， 该 指令 只 是 起 到 声明 作用 ， 并 不 会 自动 完成 端口 映射 。 


在 启动 容器 时 需要 使 用 -P，Docker 主 机 会 自动 分 配 一 个 宿主 机 的 临 
时 端口 转发 到 指定 的 问 口 ， 使 用 -p， 则 可 以 具体 指定 哪个 答 主 机 的 本 地 
端口 会 映射 过 来 。 


7.ENV 


指定 环境 变量 ， 在 镜像 生成 过 程 中 会 被 后 续 RUN 指 令 使 用 ， 在 镜 
像 局 动 的 容 右 中 也 会 存在 。 


格式 为 ENV<key><value> 或 ENV<key>=<value>...。 
例如 : 


ENV PG_MAJOR 9.3 

ENV PG_VERSION 9.3.4 

RUN curl -SL http://example.com/postgres-$PG VERSION.tar.xz | tar -xJC /usr/src/ 
postgress && .. 

ENV PATH /usr/local/postgres-$PG MAJOR/bin:S$PATH 


HA THAERJENBESE EEA T DM Ris. WMdocker run-- 


env«key»-«value»built image ° 


8.ADD 


Vti RE BU TRAER «src ER MINARA P P)«desc EEG 


格式 为 ADD<src><dest>。 


其 中 <src> 可 以 是 Dockerfile 所 在 目录 的 一 个 相对 路 径 (文件 或 目 
录 ) ， 也 可 以 是 一 个 URL， 还 可 以 是 一 个 tar 文 件 (如 果 为 tar 文 件 ， 会 
自动 解压 到 <dest> 路 径 下 ) 。<dest> 可 以 是 镜像 内 的 绝对 路 径 ， 或 者 相 
对 于 工作 目录 (WORKDIR) 的 相对 路 径 。 


路 径 文 持 正 则 格式 ， 例 如 : 


ADD *.c /code/ 


S.GOPY 


格式 为 COPY<src><dest>。 


复制 本 地 主机 的 <src> (为 Dockerfile 所 在 目录 的 相对 路 人 径 、 文 件 或 
目录 ) 下 的 内 容 到 镜像 中 的 <dest> 下。 目标 路 径 不 存在 时 ， 会 自动 创 
建 o 


路 径 同 样 文 持 正 则 格式 。 


当 使 用 本 地 目 孙 为 源 目 永 时 ， 推 荐 使 用 COPY 。 


10.ENTRYPOINT 


指定 镜像 的 默认 入 口 命令 ,该 入 口 命 令 会 在 启动 容器 时 作为 根 命 
令 执行 ， 所 有 传 入 值 作 为 该 命令 的 参数 。 


文 持 两 种 格式 : 


ENTRYPOINT ["executable", "parami", "param2"] (exec 调 用 执行 ) ; 
ENTRYPOINT command parami param2 (shell 中 执行 ) ° 


此 时 ，CMD 指 令 指定 值 将 作为 根 命令 的 参数 。 


每 个 Dockerfile 中 只 能 有 一 个 ENTRYPOINT， 当 指定 多 个 时 ， 只 有 
最 后 一 个 有 效 。 


在 运行 时 ， 可 以 被 --entrypoint 参 数 履 盖 抒 ， 如 docker run-- 


entrypoint ° 
11.VOLUME 
创建 一 个 数据 卷 挂 载 点 。 


格式 为 VOLUME["/data"]。 


可 以 从 本 地 主机 或 其 他 容 融 挂 载 数据 卷 ， 一 般 用 来 存放 数据 库 和 
需要 保存 的 数据 等 。 


12.USER 


指定 运行 容器 时 的 用 户 名 或 UID， 后 续 的 RUN 等 指令 也 会 使 用 指 
XEHJ HC EET ” 


格式 为 USER daemon ° 


当 服 务 不 需要 管理 员 权 限时 ， 可 以 通过 该 命令 指定 运行 用 户 ， 并 
且 可 以 在 之 前 创建 所 需要 的 用 户 。 例 如 : 


RUN groupadd -r postgres && useradd -r -g postgres postgres 


要 临时 获取 管理 员 权 限 可 以 使 用 gosu 或 sudo。 


13.WORKDIR 


为 后 续 的 RUN、CMD 和 ENTRYPOINT 指 令 配 置 工作 目录 。 
格式 为 WORKDIR/pathy/to/workdir ° 


可 以 使 用 多 个 WORKDIR 指 令 ， 后 续 命 令 如 果 参 数 是 相对 路 径 ， 则 
会 基于 之 前 命令 指定 的 路 径 。 例 如 : 


NS 


WORKDIR /a 
WORKDIR b 
WORKDIR c 
RUN pwd 


则 最 终 路 径 为 /a/b/c 。 


14.ARG 


指定 一 些 镜像 内 使 用 的 参数 〈 例 如 版 本 号 信息 等 ) ， 这 些 参数 在 
执行 docker build 命 令 时 才 以 --build-arg<varname>=<value> 格 式 传 入 。 


格式 为 ARG<name>[=<default value>] ° 
则 可 以 用 docker build--build-arg<name>=<value>. 来 指定 参数 值 。 
15.ONBUILD 


配置 当 所 创建 的 镜像 作为 其 他 镜像 的 基础 镜像 时 ， 所 执行 的 创建 
操作 指令 。 


格式 为 ONBUILD[IINSTRUCTION]。 


例如 ，Dockerfile 使 用 如 下 的 内 容 创 建 了 镜像 image-A: 


[...] 

ONBUILD ADD . /app/src 

ONBUILD RUN /usr/local/bin/python-build --dir /app/src 
za] 


如 果 基 于 image-A 创 建新 的 镜像 时 ， 新 的 Dockerfile 中 使 用 FROM 
image-A 指 定 基础 镜像 ， 会 目 动 执 行 ONBUILD 指 令 的 内 容 ， 等 价 于 在 
后 面 添加 了 两 条 指令 : 


FROM image-A 
#Automatically run the following 


ADD . /app/src 
RUN /usr/local/bin/python-build --dir /app/src 


使 用 ONBUILD 指 令 的 镜像 ， 推 荐 在 标签 中 注 明 ， 例 如 ruby: 1.9- 


onbuild ° 
16.STOPSIGNAL 
指定 所 创建 镜像 启动 的 容器 接收 退出 的 信和 号 值 。 例 如 : 
STOPSIGNAL signal 
17.HEALTHCHECK 


配置 所 启动 容器 如 何 进行 健康 检查 (如 何 判 断 健康 与 否 ) ， 自 
Docker 1.12 开 始 支 持 。 


格式 有 两 种 : 


ad 


HEALTHCHECK [OPTIONS] CMD command: 根据 所 执行 命令 返回 


是 否 为 9 来 判断 ; 


HEALTHCHECK[OPTIONS]CMD command: 根据 所 执行 命令 返 
回 值 是 否 为 0 来 判断 ; 


.HEALTHCHECK NONE: 禁止 基础 镜像 中 的 健康 检查 。 


OPTION 支 持 : 


时 ; 


败 。 


.--interval=DURATION (默认 为 : 30s) : 过 多 久 检 查 一 次 


.--timeout=DURATION (默认 为 : 30s) : 


.--retries=N (默认 为 : 3) : 


18.SHELL 


A 
E 
ps 
[rt 

dg 
2 
"d 
7B 
eT 
(5s 


如 膝 失 败 了 ， 重 试 几 次 才 最 终 确定 失 


指定 其 他 命令 使 用 shell 时 的 默认 shell 类 型 。 


默认 值 为 [Vbin/sh"，"-c"]。 


Qus 


对 于 Windows 系 统 ， 建 议 在 Dockerfile 开 头 添 加 #escape=` 来 指定 转 
义 信息 。 


8.3 创建 镜像 


编写 完成 Dockerfile 之 后 ， 可 以 通过 docker build 命 令 来 创建 镜像 。 


基本 的 格式 为 docker build[ 选 项 ] 内 容 路 径 ， 该 命令 将 读 取 指 定 路 
径 下 (包括 子 目录 ) 的 Dockerfile， 并 将 该 路 径 下 的 所 有 内 容 发 送 给 
Docker 服 务 端 ， 由 服务 端 来 创建 镜像 。 因 此 除非 生成 镜像 需要 ， 人 否则 
一 般 建 议 放置 Dockerfile 的 目 孙 为 空 目 未。 有 两 点 经 验 : 


.如 果 使 用 非 内 容 路 径 下 的 Dockerfile， 可 以 通过 -f 选 项 来 指定 其 路 


要 指定 生成 镜像 的 标签 信息 ， 可 以 使 用 -t 选 项 。 


fA, f&xEDockerfilePTTE F4 1$ 7j/tmp/docker builder/, Jf H5 Z8 
生成 镜像 标签 为 build_repo/first_image， 可 以 使 用 下 面 的 命令 : 


$ docker build -t build repo/first image /tmp/docker builder/ 


8.4 使 用 .dockerignore 文 件 


可 以 通过 .dockerignore 文 件 (每 一 行 添 加 一 条 匹配 模式 ) 来 让 
Docker 和 忽略 匹配 模式 路 径 下 的 目录 和 文件 。 例 如 : 


# comment 
*/temp* 
*/*/temp* 
tmp? 

—* 


8.5 RIEKER 


所 谓 最 佳 实践 ， 实 际 上 是 从 需求 出 发 ， 来 定制 适合 目 己 、 高 效 方 
便 的 镜像 。 


首先 ， 要 尽量 吃透 每 个 指令 的 舍 义 和 执行 效 有 末 ， 目 己 多 编写 一 些 
简单 的 例子 进行 测试 ， 弄 清楚 了 再 撰写 正式 的 Dockerfile。 此 外 ， 
Docker Hub 官 方 仓库 中 提供 了 大 量 的 优秀 镜像 和 对 应 的 Dockefile， 可 
以 通过 阅读 它们 来 学 习 如 何 撰写 高 效 的 Dockerfile 。 


笔者 在 应 用 过 程 中 也 总 结 了 一 些 实践 经 验 。 建 议 读者 在 生成 镜像 
过 程 中 ， 壬 试 从 如 下 角度 进行 思考 ， 完 善 所 生成 的 镜像 。 


- 精 商 镜像 用 途 : 尽量 让 每 个 镜像 的 用 途 都 比较 集中 、 单 一 ， 避 免 
构造 大 而 复杂 、 多 功能 的 镜像 ; 


选用 合适 的 基础 镜像 : 过 大 的 基础 镜像 会 造成 生成 腾 肿 的 镜像 ， 
一 般 推荐 较为 小 巧 的 debian 镜 像 ; 


-提供 足够 清晰 的 命令 注释 和 维护 者 信息 : Dockerfile 也 是 一 种 代 
码 ， 需 要 考虑 方便 后 续 扩 展 和 他 人 使 用 ; 


正确 使 用 版 本 号 : 使 用 明确 的 版 本 号 信息 ， 如 1.0，2.0， 而 非 
latest， 将 避免 内 容 不 一 致 可 能 引发 的 惨案 


- 诚 少 镜像 层 数 : 如 果 硕 望 所 生成 镜像 的 导数 尽量 少 ， 则 要 尽量 合 
并 指令 ， 例 如 多 个 RUN 指 令 可 以 合并 为 一 条 ; 
-及 时 删除 临时 文件 和 缓存 文件 : 特别 是 在 执行 apt-get 指 令 


后 ，/varcache/apt 下 面 会 缓存 一 些 安装 包 ; 


提高 生成 速度 : 如 合理 使 用 缓存 ， 减 少 内 容 目 录 下 的 文件 ， 或 使 
用 .dockerignore 文 件 指 定 等 ; 


调整 合理 的 指令 顺序 ， 在 开局 缓存 的 情况 下 ， 内 容 不 变 的 指令 尽 
量 放 在 前 面 ， 这 样 可 以 尽量 复 用 ; 


-减少 外 部 源 的 干扰 : 如 有 果 确 实 要 从 外 部 引入 数据 ， 需 要 指定 持久 
的 地 址 ， 并 带 有 版 本 信息 ， 让 他 人 可 以 重复 而 不 出 错 。 


8.6 ”本章 小 结 


本 章 主 要 介绍 了 围绕 Dockerfile 文 件 构建 镜像 的 过 程 ， 包 括 
Dockerfile 的 基本 结构 、 所 文 持 的 内 部 指令 ， 使 用 它 创建 镜像 的 基本 过 
程 ， 以 及 合理 构建 镜像 的 最 佳 实 践 。 在 使 用 Dockerfile 构 建 镜像 的 过 程 
中 ， 读 者 会 体会 到 Docker" 一 点 修改 代替 大 量 更 新 ”的 灵活 之 处 。 


当然 ， 编 写 一 个 高 质量 的 Dockerfile 并 不 是 一 件 容易 的 事情 ， 需 要 
一 定时 间 的 学 习 和 实践 。 在 本 书 的 第 二 部 分 中 ， 笔 者 也 给 出 了 大 量 热 
门 镜像 的 Dockerfile， 供 大 家 学 习 参 考 。 


第 二 部 分 “ 实 成 案例 
-第 9 章 ”操作 系统 
:第 10 章 ”为 镜像 添加 SSH 服 务 
:第 11 章 ”Web 服务 与 应 用 
:第 12 章 ”数据 库 应 用 


:第 13 章 ”分布 式 处 理 与 大 数据 平台 


:第 14 章 ”编程 开发 


:第 15 章 ” 容 姨 与 云 服务 


:第 16 章 ”容器 实战 思 邯 


实战 ， 古 检验 技术 的 唯一 标准 。 


通过 第 一 部 分 的 学 习 ， 相 信 读 者 已 经 掌握 了 Docker 的 核心 概念 和 
常用 操作 。 在 这 一 部 分 中 笔者 将 展示 大 量 的 容器 化 应 用 案例 ， 更 加 深 
入 地 展示 容 右 技术 如 何在 生产 环境 中 进行 应 用 。 


第 9 章 将 介绍 通过 Docker 来 运行 典型 的 操作 系统 环境 ， 包 括 


BusyBox ` Alpine ` Debian/Ubuntu ` CentOS/Fedora® ° 


第 10 章 将 介绍 如 何 为 一 个 镜像 添加 SSH 服 务 的 文 持 ， 以 及 探讨 访 


问 容 右 内 部 的 合理 方案 。 


第 11 章 将 介绍 利用 Docker 来 提供 典型 的 web 服务 ， 包 括 Apache、 
Nginx、Tomcat、Jetty、 LAMP、CMS 等 流行 的 Web 工 具 ， 以 及 持续 开 
发 与 管理 的 工具 。 


第 12 章 将 通过 MySQL、MongoDB、Redis、Memcached、 
CouchDB、Cassandra 等 数据 库 的 典型 例子 ， 展 示 在 容器 中 搭建 和 配置 
常见 的 SQL 和 NoSQL 数 据 库 软 件 。 


第 13 章 将 介绍 分 布 式 处 理 和 大 数据 平台 ， 包 括 消 轧 队 列 代 表 
RabbitMQ ^ 分 布 式 任务 处 理 Celery、 大 数据 平台 Hadoop、Spark、 


Storm、Elasticsearch 等 。 


第 14 章 将 介绍 流行 的 编程 语言 ， 包 括 C/C++、Java、PHP、 
Python、Perl、Ruby、Node.js/JavaScript、Go 等 语言 ， 以 及 如 何 用 
Docker 来 快速 构建 相应 的 编程 开发 环境 。 


接 下 来 ， 在 第 15 章 将 介绍 文 持 容 需 技 术 的 公有 云 服务 和 容 需 云 平 


最 后 ， 在 第 16 草 会 结合 生产 实践 中 的 常见 需求 和 问题 进行 探讨 ， 


通过 第 二 部 分 的 实战 案例 学 习 ， 读 者 将 可 以 更 好 地 掌握 容器 技 
术 ， 并 在 工作 中 更 加 高 效 地 使 用 Docker 。 


第 9 章 ”操作 系统 


目前 常用 的 Linux 发 行 版 主要 包括 Debian/Ubuntu 系 列 和 
CentOS/Fedora 系 列 。 前 者 以 自 带 软件 包 版 本 较 新 而 出 名 ; 后 者 则 宣称 
运行 更 稳定 一 些 。 选 择 哪个 操作 系统 取决 于 读者 的 具体 需求 。 同 时 ， 
社区 还 推出 了 完全 基于 Docker 的 Linux 发 行 版 CoreOS。 


使 用 Docker， 只 需要 一 个 命令 就 能 快速 获取 一 个 Linux 发 行 版 镜 
像 ， 这 是 以 往 包 括 各 种 虚拟 化 技术 都 难以 实现 的 。 这 些 镜像 一 般 都 很 
精简 ， 但 是 可 以 支持 完整 Linux 系 统 的 大 部 分 功能 。 


本 间 将 介绍 如 何 使 用 Docker 安 闭 和 使 用 BusyBox、Alphine ^ 


Debian/Ubuntu 、CentOS/Fedora 等 操作 系统 。 


9.1 BusyBox 


BusyBox 是 一 个 集成 了 一 百 多 个 最 常用 Linux 命 令 和 工具 (如 cat、 
echo ` grep ^ mount ` telnet 等 ) 的 精简 工具 箱 ， 它 只 有 几 MB 的 大 小 ， 
很 方便 进行 各 种 快速 验证 ， 被 誉 为 Linux 系统 的 瑞士 军刀 ”。BusyBox 
可 运行 于 多 款 POSIX 环 境 的 操作 系统 中 ， 如 Linux (包括 Android) ^ 
Hurd、FreeBSD 等 。 


在 Docker Hub 中 搜索 busybox 相 关 的 镜像 : 


f 


$ docker search busybox 


NAME DESCRIPTION STARS OFFICIAL 
AUTOMATED 

busybox Busybox base image. 755 [0K] 
progrium/busybox 63 [0K] 
radial/busyboxplus Full-chain, Internet enabled, busybox made... 11 [0K] 
odise/busybox-python 3 [0K] 
multiarch/busybox multiarch ports of ubuntu-debootstrap 2 [0K] 


azukiapp/busybox This image is meant to be used as the base... 2 [0K] 


读者 可 以 看 到 最 受 欢 迎 的 镜像 。 市 有 OFFICIAL 标 记 说 明 是 官方 镜 
。 用 户 可 使 用 docker pull 指 令 下 载 镜像 busybox: latest: 


$ docker pull busybox:latest 


下 载 后 ， 可 以 看 到 busybox 镜 像 只 有 2.433MB: 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
busybox latest e72ac664f4f0 6 weeks ago 2.433 MB 


JE) — busybox fit, JPTET SRI EUR EE SCR I, LP Bron: 


$ docker run -it busybox 

/ # mount 

rootfs on / type rootfs (rw) 

none on / type aufs (rw,relatime,si-b455817946f8505c) 

proc on /proc type proc (rw,nosuid,nodev,noexec,relatime) 

tmpfs on /dev type tmpfs (rw,nosuid,mode-755) 

shm on /dev/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size-65536k) 

devpts on /dev/pts type devpts 

(rw, nosuid,noexec, relatime,gid-5,mode-z620,ptmxmode-666) 

sysfs on /sys type sysfs (ro,nosuid,nodev,noexec,relatime) 

/dev/disk/by-uuid/bif2dba7-d91b-4165-a377-bfi1a8bed3f61 on /etc/resolv.conf type 
ext4 (rw,relatime,errors-remount-ro, data-ordered) 

/dev/disk/by-uuid/bif2dba7-d91b-4165-a377-bfia8bed3f61 on /etc/hostname type 
ext4 (rw,relatime,errors-remount-ro,data-ordered) 

/dev/disk/by-uuid/bif2dba7-d91b-4165-a377-bfia8bed3f61 on /etc/hosts type ext4 
(rw,relatime,errors-remount-ro,data-ordered) 

devpts on /dev/console type devpts (rw,nosuid,noexec,relatime,gid-5,mode-620,pt 
mxmode-000) 

proc on /proc/sys type proc (ro,nosuid,nodev,noexec, relatime) 

proc on /proc/sysrq-trigger type proc (ro,nosuid,nodev,noexec,relatime) 

proc on /proc/irq type proc (ro,nosuid,nodev,noexec,relatime) 


proc on /proc/bus type proc (ro,nosuid,nodev,noexec, relatime) 
tmpfs on /proc/kcore type tmpfs (rw,nosuid,mode-755) 


busybox 锐 像 虽 然 小 巧 ， 但 包括 了 大 量 和 常见 的 Linux 命 令 ， 读 者 可 以 


用 它 快速 熟悉 Linux 命 令 。 


9.2 Alpine 


Alpine 操 作 系 统 是 一 个 面向 安全 的 轻型 Linux 发 行 版 。 它 不 同 于 通 
党 的 Linux 发 行 版，Alpine 采 用 了 mnusl libc 和 BusyBox 以 减 小 系统 的 体积 
和 运行 时 资源 消耗 ， 但 功能 上 比 BusyBox 又 完善 得 多 ， 因 此 得 到 开源 社 
区 越 来 越 多 的 青睐 。 在 保持 瘦身 的 同时 ，Alpine 还 提供 了 目 己 的 包 管 理 
工具 apk， 可 以 通过 https:Wpkgs.alpinelinux.org/packages 查 询 包 信息 ， 也 
可 以 通过 apk 命 令 直 接 查 询 和 安装 各 种 软件 。 


A aine 


ILNUX 


Alpine 是 由 非 商业 组 织 维护 的 支持 广 沁 场景 的 Linux 发 行 版 ， 它 特 
别 为 资深 /重度 Linux 用 户 而 优化 ， 关 注 安全 、 性 能 和 资源 效能 。Alpine 
镜像 适用 于 更 多 钊 用 场景 ， 并 且 走 一 个 优秀 的 可 以 适用 于 生产 的 基础 
系统 /环境 


Alpine Docker 镜 像 也 继承 了 Alpine Linux 发 行 版 的 这 些 优势 。 相 比 
于 其 他 Docker 镜 像 ， 它 的 容量 非常 小 ， 仪 仪 只 有 5MB 左 右 《Ubuntu 系 


列 镜像 接近 200MB) ， 且 拥有 非常 友好 的 包 管理 机 制 。 官 方 镜像 来 自 


docker-alpine 项 目 。 


目前 Docker 官 方 已 开始 推荐 使 用 Alpine 瑟 代 之 前 的 Ubuntu 作为 基础 
镜像 环境 。 这 样 会 带 来 多 个 好 处 ， 包 括 镜 像 下 载 速度 加 快 ， 镜 像 安 全 
性 提高 ， 主 机 之 间 的 切换 更 方便 ， 占 用 更 少 磁盘 空间 等 。 


表 9-1 是 官方 镜像 的 大 小 比较 。 


表 9-1 官方 镜像 大 小 比较 


REPOSITORY IMAGE ID VIRTUAL SIZE 
alpine latest 4e38Re38c8ce0 4.799MR 


debian latest 4d6ce913b130 $4.98MB 


ubuntu latest b39b8 lafc8ca 188.3MB 


centos latest Sefe422e6104 210MB 


1. 使 用 官方 镜像 


由 于 镜像 很 小 ， 下 载 时 间 往 往 很 得， 可 以 使 用 docker ruji S EI 


运行 一 个 alpine 容 右 ， 并 指定 运行 的 Linux 指 令 ， 例 如 : 


$ docker run alpine echo '123' 
123 


笔者 使 用 time 工 具 测试 在 本 地 没有 提前 pull 镜 像 的 情况 下 ， 执 行 
echo 命 令 的 时 间 ， 仅 需要 3 秒 左 右 。 


$ time docker run alpine echo '123'Unable to find image 'alpine:latest' 
locallylatest: 


Pulling from library/alpine 
e110a4a17941: Pull completeDigest: sha256:3dcdb92d7432d56604d4545cbd324b14e647b 
313626d99b889d0626de158f73aStatus: Downloaded newer image for alpine:latest123 
real 0m3.367s user 0m0.040s sys 0m9.007s 
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目前 ， 大 部 分 Docker 官 方 镜 像 都 已 经 文 持 Alpine 作 为 基础 镜像 ， 因 
此 可 以 很 容易 地 进行 迁移 。 


例如 : 


ubuntu/debian -> alpine 
python:2.7 -> python:2.7-alpine 
ruby:2.3 -> ruby:2.3-alpine 


另外 ， 如 果 使 用 Alpine 镜 像 奉 换 Ubuntu 基 础 镜像 ， 安 装 软件 包 时 需 
要 用 apk 包 管理 器 蔡 换 apt 工 具 ， 如 


$ apk add --no-cache <package> 


Alpine 中 软件 安装 包 的 名 字 可 能 会 与 其 他 发 行 版 有 所 不 同 ， 可 以 在 
https://pkgs.alpinelinux.org/packages 网 站 搜索 并 确定 安装 包 的 名 称 。 如 
果 需 要 的 安装 包 不 在 主 索 引 内 ， 但 是 在 测试 或 社区 索引 中 ， 那 么 可 以 
按照 以 下 方法 使 用 这 些 安装 包 : 


$ echo "http://dl-4.alpinelinux.org/alpine/edge/testing" >> /etc/apk/repositories 
$ apk --update add --no-cache «package» 


9.3 Debian/Ubuntu 


Debian 和 Ubuntu 都 是 目 前 较为 流行 的 Debian 系 的 服务 天 操作 系统 ， 
十 分 适合 研发 场景 。Docker Hub 上 提供 了 官方 镜像 ， 国 内 各 大 容器 云 
服务 也 基本 都 提供 了 相应 的 支持 。 


1.Debian 系 统 简介 及 使 用 


Debian 是 由 GPL 和 其 他 目 由 软件 许可 协议 授权 的 目 由 软件 组 成 的 操 
作 系 统 ， 由 Debian Project 组 织 维护 。Debian 计 划 是 一 个 独立 、 分 散 的 组 
织 ， 由 3000 个 志愿 者 组 成 ， 接 受 世界 多 个 非 例 利 组 织 的 和 货 金 文 持 ， 
Software in the Public Interest 提 供 文 持 并 持 有 商标 作为 保护 机 构 。 
Debian 以 其 坚守 Unix 和 目 由 软件 的 精神 ， 以 及 给 予 用 户 的 众多 选择 而 
闻名 。 现 在 Debian 包 括 了 超过 25000 个 软件 包 并 文 持 12 个 计算 机 系统 结 
构 。 


debian 


作为 一 个 大 的 系统 组 织 框架 ，Debian 下 面 有 多 种 不 同 操作 系统 核 
心 的 分 支 计 划 ， 主 要 为 采用 Linux 核 心 的 Debian GNU/Linux 系 统 ， 其 他 


还 有 采用 GNU Hurd 核 心 的 Debian GNU/Hurd 系 统 、 采 用 FreeBSD 核 心 的 
Debian GNU/kFreeBSD 和 系统， 以 及 采用 NetBSD 核 心 的 Debian 
GNU/NetBSD 系 统 ， 其 至 还 有 利用 Debian 的 系统 架构 和 工具 ， 采 用 
OpenSolaris 核 心 构建 而 成 的 Nexenta OS 系统 。 在 这 些 Debian 系 统 中 ， 以 
采用 Linux 核 心 的 Debian GNU/Linux 最 为 著名 。 


众多 的 Linux 发 行 版 ， 例 如 Ubuntu、Knoppix 和 Linspire 及 Xandros 
等 ， 都 基于 Debian GNU/Linux ° 


可 以 使 用 docker search 搜 索 Docker Hub， 查 找 Debian 镜 像 ， 结 果 如 
下 所 示 : 


$ docker search debian 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
debian Debian is... 1565 [0K] 
neurodebian NeuroDebian... 26 [0K] 
armbuild/debian port of debian 8 [0K] 


官方 提供 了 大 家 熟知 的 debian 镜 像 以 及 面 癌 科研 领域 的 neurodebian 
镜像 。 


可 以 使 用 docker run 直 接 运 行 debian 镜 像 : 


$ docker run -it debian bash 
root8668e178d8d69:/4 cat /etc/issue 
Debian GNU/Linux 8 


debian 镜 像 很 适合 作为 基础 镜像 ， 用 于 构建 目 定义 镜像 。 


2.Ubuntu 系 统 简 介 及 使 用 


Ubuntu 是 一 个 以 桌面 应 用 为 主 的 GNU/Linux 操 作 系 统 ， 其 名 称 来 自 
非洲 南部 祖 鲁 语 或 豪 萨 语 的 “ubuntu” 一 词 。Ubuntu 意 思 是 “<* 人 性 ”以 
及 “我 的 存在 是 因为 大 家 的 存在 >， 是 非洲 的 一 种 传统 价值 观 。Ubuntu 
基于 Debian 发 行 版 和 GNOME/Unity 桌 面 环境 ， 与 Debian 的 不 同 在 于 它 
每 6 个 月 会 发 布 一 个 新 版 本 ， 每 2 年 会 推出 一 个 长 期 文 持 (Long Term 
Support, LTS) 版 本 ， 一 般 文 持 3 年 。 
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Ubuntu 相关 的 镜像 有 很 多 ， 在 Docker Hub 上 使 用 -s 10 参 数 进行 搜 
索 ， 只 搜索 那些 被 收藏 10 次 以 上 的 镜像 : 


$ docker search -s 10 ubuntu 


NAME DESCRIPTION STARS OFFICIAL 
AUTOMATED 

ubuntu Official Ubuntu base image 840 
re Trusted automated Ubuntu (http://www.ubunt... 30 
Dcus E E A trusted, regularly updated build of GitL... 20 
c EE E This is a Memcached 1.4.14 docker images b... 16 
La Upstart is an event-based replacement for ... 16 
ee em 16 
eg prede Ubuntu 14.04 LTS with ansible 15 
ee The Tiny Tiny RSS feed reader allows you t... 14 
d EE Trusted automated Ubuntu Desktop (LXDE) (h... 14 
EU artes Ubuntu image with SSH access. For the root... 12 
[OK] 


注意 ，Docker 1.12 版 本 中 已 经 不 支持 --stars 参 数 了 ， 可 以 使 用 -f 
stars=N 参 数 。 


根据 搜索 出 来 的 结 末 ， 读 者 可 以 目 行 选择 下 载 镜像 并 使 用 。 


下 面 以 Ubuntu 14.04 为 例 ， 演 示 如 何 使 用 该 镜像 安装 一 些 常 用 软 
件 。 


目 先 使 用 -ti 参数 局 动容 器 ， 登 录 bash， 但 看 ubuntu 的 发 行 版 本 号 : 


$ docker run -ti ubuntu:14.04 /bin/bash 
root@7d93de07bf76:/# lsb release -a 

No LSB modules are available. 
Distributor ID: Ubuntu 


Description: Ubuntu 14.04.1 LTS 
Release: 14.04 
Codename: trusty 


当 试图 直接 使 用 apt-get 安 装 一 个 软件 的 时 候 ， 会 提示 E: Unable to 


locate package: 


root@7d93de07bf76:/# apt-get install curl 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

E: Unable to locate package curl 


这 并 非 系统 不 文 持 apt-get 命 令 。Docker 镜 像 在 制作 时 为 了 精简 清除 
了 apt 仓 库 信 息 ， 因 此 需 HEAD. get update 命 令 来 更 新 仓库 信息 。 
更 新 信息 后 即 可 成 功 通过 apt-get 命 令 来 安装 软件 : 


root@7d93de07bf76:/# apt-get update 


安装 curl 工 具 : 


root@7d93de07bf76:/# apt-get install curl -y 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 


rootQ7d93de07bf76:/4 curl 
curl: try 'curl --help' or 'curl --manual' for more information 


接 下 来 ， 再 安装 apache 服 务 : 


root@7d93de07bf76:/# apt-get install -y apache2 


局 动 这 个 apache 服 务 ， 然 后 使 用 curl 来 测试 本 地 访问 |: 


root@7d93de07bf76:/# service apache2 start 
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9.4  CentOS/Fedora 


1.CentOS 系 统 简介 及 使 用 


CentOS 和 Fedora 都 古 基 于 Redhat 的 常见 Linux 分 支 。CentOS 是 目前 
企业 级 服务 器 的 常用 操作 系统 ，Fedora 则 主要 面向 个 人 桌面 用 户 。 


«^» CentOS 


CentOS (Community Enterprise Operating System ， 社 区 企业 操作 系 
Zi) 是 基于 Red Hat Enterprise Linux 源 代码 编译 而 成 的 。 由 于 CentOS 与 
Redhat Linux 源 于 相同 的 代码 基础 ， 所 以 很 多 成 本 敏感 且 需 要 高 稳定 性 
的 公司 就 使 用 CentOS 来 奉 代 商业 版 Red Hat Enterprise Linux ° CentOS H 
号 不 包含 财源 软件 。 


在 Docker Hub 上 使 用 docker search 命 令 来 搜索 标 星 至 少 为 25 的 
CentOS 相 天 镜像 ， 如 下 所 示 : 


$ docker search -f stars-25 centos 
NAME DESCRIPTION STARS OFFICIAL AUTOMATED 


centos The official... 2543 [0K] 
jdeathe/centos-ssh 27 [0K] 


使 用 docker run 直 接 运 行 最 新 的 CentOS 镜 像 ， 并 登录 bash: 


$ docker run -it centos bash 
[root@43eb3b194d48 /]# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 


2.Fedora 系 统 简 介 及 使 用 


Fedora 是 由 Fedora Projectt XF Az , LIRAS BBJLinux AZ íT 
版 。 它 的 目标 是 创建 一 套 新 颖 、 多 功能 并 且 上 自由 和 开源 的 操作 系统 。 
对 用 户 而 言 ，Fedora 是 一 套 功 能 完备 的 、 可 以 更 新 的 免费 操作 系统 ， 而 
对 赞助 商 Red Hat 而 言 ， 它 是 许多 新 技术 的 测试 平台 ， 被 认为 可 用 的 近 
术 最 终 会 加 入 到 Red Hat Enterprise Linux 中 。 


在 Docker Hub 上 使 用 docker search 命 令 来 搜索 标 星 至 少 为 2 的 Fedora 
相关 镜像 ， 结 果 如 下 : 


$ docker search -f stars-2 fedora 


NAME DESCRIPTION STARS 
OFFICIAL 

AUTOMATED 
fedora Official Docker builds of Fedora 433 [OK] 
dockingbay/fedora-rust Trusted build of Rust programming language... 3 [0K] 
gluster/gluster-fedora Official GlusterFS image [ Fedora 21 + Glu... 3 [OK] 


startx/fedora Simple container used for all startx based... 2 [OK] 


使 用 docker run 命 令 直 接 运 行 Fedora 官 方 镜像 ， 并 登录 bash: 


$ docker run -it fedora bash 
[rootQ@196ca341419b /]# cat /etc/redhat-release 
Fedora release 24 (Twenty Four) 


9.5 ”本章 小 结 


本 章 讲解 了 典型 操作 系统 镜像 的 下 载 和 使 用 。 除 了 官方 的 镜像 之 
外 ， 在 Docker Hub 上 还 有 许多 第 三 方 组 织 或 个 人 上 传 的 Docker 镜 像 。 
读者 可 以 根据 具体 情况 来 选择 。 一 般 来 说 注意 如 下 几 点 : 


:官方 镜像 体积 都 比较 小 ， 只 带 有 一 些 基本 的 组 件 。 精 简 的 系统 
利于 安全 、 稳 定 和 高 效 运行 ， 也 适合 进行 定制 。 


个 别 第 三 方 镜 像 (如 tutum， 已 被 Docker 收 购 ) 质量 也 非常 高 。 这 
些 镜像 通常 针对 某 个 具体 应 用 进行 配置 ， 比 如 ， 包 含 LAMP 组 件 的 
Ubuntu 镜像 。 


-出 于 安全 考虑 ， 几 乎 所 有 官方 制作 的 镜像 都 没有 安 逆 SSH 服 务 ， 
无 法 使 用 用 户 名 和 和 密码 直接 登录 。 


后 续 章节 中 ， 笔 者 将 介绍 如 何 创建 一 个 带 SSH 服 务 的 Docker 镜 
像 。 


第 10 章 ”为 镜像 添加 SSH 服 务 


中 介绍 了 一 些 进 入 容 咽 的 办 法 ， 比 如 attach、exec 等 命 
令 ， 但 是 这 些 命令 都 无 法 解决 远程 管理 容器 的 问题 。 因 此 ， 当 读者 需 
时 登录 到 容 屁 内 进行 一 些 操作 的 时 候 ， 就 需要 SSH 的 支持 了 。 


本 章 将 具体 介绍 如 何 上 自行 创建 一 个 融 有 SSH 服 务 的 镜像 ， 并 详细 
介绍 了 两 种 创建 容器 的 方法 : 基于 docker commit 命 令 创 建 和 基于 
Dockerfile 创 建 。 


10.1 基于 commit 命 令 创 建 


Docker 提 供 了 docker commit 命 令 ， 支 持 用 户 提交 自己 对 制定 容器 的 
修改 ， 并 生成 新 的 镜像 。 命 令 格 式 为 docker commit 
CONTAINER[REPOSITORY[: TIAG]] ° 


这 里 将 介绍 如 何 用 docker commit 命 令 。 笔 者 以 ubuntu: 14.04 镜 像 添 
加 SSH 服 务 的 操作 流程 为 例 。 


1. 准 备 工 作 
首先 ， 使 用 ubuntu: 14.04 镜 像 来 创建 一 个 容器 : 
$ docker run -it ubuntu:14.04 /bin/bash 
更 新 apt 缓 存 ， 并 安装 openssh-server: 
root@fc1936ea8ceb:/# apt-get update; apt-get install openssh-server -y 
2. 安 装 和 配置 SSH 服 务 
选择 主流 的 openssh-server 作 为 服务 端 ; 


root@fci936ea8ceb:/# apt-get install openssh-server -y 


如 果 需 要 正常 启动 SSH 服 务 ， 则 目录 /var/run/sshd 必 须 存 在 。 手 动 创 


建 它 ， 并 启动 SSH 服 务 : 


rootQfc1936ea8ceb:/£ mkdir -p /var/run/sshd 
rootQfci936ea8ceb:/4 /usr/sbin/sshd -D & 
[1] 3254 


此 时 查看 容器 的 22 端 口 《SSH 服 务 默认 监听 的 端口 ) ， 可 见 此 端口 


已 经 处 于 监听 状态 : 


rootQfc1936ea8ceb:/£ netstat -tunlp 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 
tcp6 0 O :::22 irat LISTEN 


修改 SSH 服 务 的 安全 登录 配置 ， 取 消 pam 登 录 限 制 : 


rootüfc1936ea8ceb:/£ sed -ri 's/session required pam loginuid.so/£Zsession 


required pam loginuid.so/g' /etc/pam.d/sshd 


在 root 用 户 目 孙 下 创建 .ssh 目 孙 ， 并 复制 需要 登录 的 公 钥 信息 (一 般 


( 
为 本 地 主机 用 户 目录 下 的 .ssh/id_rsa.pub 文 件 ， 可 由 ssh-keygen-t rsa 命 
生成 ) 到 authorized_keys 文 件 中 : 


rootQfci936ea8ceb:/4 mkdir root/.ssh 
rootQfc1936ea8ceb:/£ vi /root/.ssh/authorized keys 


创建 自动 局 动 SSH 服 务 的 可 执行 文件 run.sh， 并 添加 可 执行 权限 : 


rootQfci936ea8ceb:/4& vi /run.sh 
rootQfci936ea8ceb:/4& chmod +x run.sh 


^ 


其 中 ，run.sh 脚 本 内 容 如 下 : 


&!/bin/bash 
/usr/sbin/sshd -D 


最 后 ， 退 出 容积 : 


root@fc1936ea8ceb:/# exit 
exit 


3. 你 存 镜像 


将 所 退出 的 容器 用 docker commit 命 令 保存 为 一 个 新 的 sshd: ubuntu 
镜像 : 


$ docker commit fci sshd:ubuntu 
7Taef2cd95fdOc712f022bcff6a4ddefccf20fd693da2b24b04eeicd3edS3eb6fc 


使 用 docker images 碍 看 本 地 生成 的 新 镜像 shd: ubuntu， 目 前 拥有 的 
镜像 如 下 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd ubuntu 7aef2cd95fd0 10 seconds ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 


4. 使 用 镜像 


启动 容器 ， 并 添加 端口 映射 10022-->22。 其 中 10022 是 宿主 主机 的 端 


口 ，22 是 容器 的 SSH 服 务 监听 端口 : 


$ docker run -p 10022:22 -d sshd:ubuntu /run.sh 
3ad7182aa47f9ce670d933f943fdec946ab69742393ab2116bace72db82b4895 


局 动 成 功 后 ， 可 以 在 答 主 主机 上 看 到 容 右 运行 的 评 细 信息 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
3ad7182aa47f sshd:ubuntu "/run.sh" 2 seconds ago Up 2 seconds 


0.0.0.0:10022-222/tcp focused ptolemy 


在 宿主 主机 (192.168.1.200) 或 其 他 主机 上 上 ， 可 以 通过 SSH 访 问 
10022 端 口 来 登录 容器 : 


$ ssh 192.168.1.200 -p 10022 
root83ad7182aa47f :~# 


10.2 ”使 用 Dockerfile 创 建 

在 第 一 部 分 中 笔者 曾 介 绍 过 Dockerfile 的 基础 知识 ， 下 面 将 介绍 如 
何 使 用 Dockerfile 来 创建 一 个 支持 SSH 服 务 的 镜像 。 

1. 创 建 工 作 目 录 

首先 ， 创 建 一 个 sshd_ubuntu 工 作 目 录 : 


$ mkdir sshd ubuntu 
$ 1s 


sshd ubuntu 


在 其 中 ， 创 建 Dockerfile 和 run.sh 文 件 : 


$ cd sshd ubuntu/ 
$ touch Dockerfile run.sh 


$ 1s 
Dockerfile  run.sh 


2. 编 写 run.sh 脚 本 和 authorized_keys 文 件 
脚本 文件 run.sh 的 内 容 与 上 一 人 小节 中 一 致 : 


&!/bin/bash 
/usr/sbin/sshd -D 


在 宿主 主机 上 生成 SSH 密 钥 对 ， 并 创建 authorized_keys 文 件 : 


$ ssh-keygen -t rsa 


$ cat -/.ssh/id rsa.pub »authorized keys 


3.285; Dockerfile 


下 面 是 Dockerfile 的 内 容 及 各 部 分 的 注释 ， 可 以 对 比 上 一 下 中 利用 
docker commit 命 令 创 建 镜 像 过 程 ， 所 进行 的 操作 基本 一 致 : 


# 设 置 继承 镜像 

FROM ubuntu:14.04 
# 提 供 一 些 作 者 的 信息 
MAINTAINER docker user (userQdocker.com) 
# 下 面 开 始 运行 更 新 命令 

RUN apt-get update 

# 安 装 ssh 服 务 

RUN apt-get install -y openssh-server 
RUN mkdir -p /var/run/sshd 

RUN mkdir -p /root/.ssh 

# 取 消 pam 限 制 
RUN sed -ri 's/session required pam loginuid.so/£session required 
pam loginuid.so/g' /etc/pam.d/sshd 

# 复 制 配置 文 件 到 相应 位 置 , 并 赋予 脚本 可 执行 权限 

ADD authorized keys /root/.ssh/authorized keys 

ADD run.sh /run.sh 

RUN chmod 755 /run.sh 

# 开 放 端 
EXPOSE 22 

# 设 置 自 启 动 命令 
CMD ["/run.sh"] 


4. 创 建 镜像 


在 sshd_ubuntu 目 孙 下 ， 使 用 docker build 命 令 来 创建 镜像 。 这 里 需 
要 注意 最 后 还 有 一 个 “.”， 表 示 使 用 当前 日 录 中 的 Dockerfile: 


$ cd sshd_ubuntu 
$ docker build -t sshd:Dockerfile . 


如 果 读 者 使 用 Dockerfile 创 建 目 定义 镜像 ， 那 么 需要 注意 的 是 
Docker 会 目 动 删除 中 间 临 时 创建 的 层 ， 还 需要 注意 每 一 步 的 操作 和 编 
写 的 Dockerfile 中 命令 的 对 应 关系 。 


命令 执行 完毕 后 ， 如 有 果 读 者 可 见 “Successfully built XXX” 字 样 ， 则 
说 明镜 像 创 建成 功 。 可 以 看 到 ， 以 上 命令 生成 的 镜像 ID 是 
570c26a9de68 ° 


在 本 地 查看 sshd: Dockerfile 镜 像 已 存在 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd Dockerfile 570c26a9de68 4 minutes ago 246.5 MB 
sshd ubuntu 7Taef2cd95fdo 12 hours ago 255.2 MB 
busybox latest e72acee4f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 
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使 用 刚才 创建 的 sshd: Dockerfile 镜 像 来 运行 一 个 容器 。 
直接 启动 镜像 ， 映 射 容器 的 22 端 口 到 本 地 的 10122 端 口 : 


$ docker run -d -p 10122:22 sshd:Dockerfile 
890cO4ff8d769b604386ba4475253ae8c21fc92d60083759afa77573bf4e8af1 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

890cO4ff8d76 sshd:Dockerfile "/run.sh" 4 seconds ago 
Up 3 seconds 0.0.0.0:10122-»222/tcp high albattani 


在 宿主 主机 新 打开 一 个 终端 ， 连 接 到 新 建 的 容 句 : 


$ ssh 192.168.1.200 -p 10122 
rootQ890cOA4ff8d76:-4 


效果 与 上 一 小 节 一 致 ， 镜 像 创 建成 功 。 


10.3 ”本章 小 结 


在 Docker 社 区 中 ， 对 于 是 否 需要 为 Docker 容 局 局 用 SSH 服 务 一 直 
有 争论。 


有 反对 方 的 观点 是 ，Docker 的 理念 十 一 个 容器 只 运行 一 个 服务 。 
此 ， 如 末 每 个 容 右 都 运行 一 个 额外 的 SSH 服 务 ， 就 违背 了 这 个 理念 。 
男 外 认为 根本 没有 从 远程 主机 进入 容器 进行 维护 的 必要 。 


文 持 方 的 观点 是 : 在 Docker 1.3 版 本 之 前 ， 如 末 要 用 attach 进 入 容 
俐 ， 经 常 容易 出 现 卡 死 的 情况 。1.3 之 后 ， 昌 然 冒 方 推出 了 docker exec 
命令 ,再 从 和 窒 主 主机 进入 是 没有 障碍 了， 但 是 如 果 要 从 其 他 远程 主机 
进入 容器 依然 没有 更 好 的 解决 方案 。 


笔者 认为 ， 这 两 种 说 法 各 有 道理 ， 其 实 是 在 讨论 不 同 的 容器 场 
景 : 即 作 为 应 用 容 絮 还 是 作为 系统 容器 。 应 用 容 右 行为 围绕 应 用 生命 
周期 ， 较 为 简单 ， 不 需要 人 工 的 额外 干预 ， 而 系统 容 右 则 需要 文 持 管 
理 员 的 登录 操作 ， 这 个 时 候 ， 对 SSH 服 务 的 支持 就 变 得 十 分 必要 了 。 


因此 ， 在 Docker 推 出 更 加 高 效 、 安 全 的 方式 对 系统 容 右 进行 远程 
操作 之 前 ， 容 器 的 SSH 服 务 还 古 比 较 重 要 的 ， 而 且 它 对 资源 的 需求 不 
高 ， 同 时 安全 性 可 以 保障 。 


第 11 章 ”Web 服务 与 应 用 


Web 服 务 和 应 用 是 目前 信息 技术 领域 的 热门 技术 。 


本 章 将 重点 介绍 如 何 使 用 Docker 来 运行 常见 的 Web 服 务 器 (包括 
Apache、Nginx、Tomcat 等 ) ， 以 及 一 些 常用 应 用 (LAMP ^ CMS 
T) 。 包 括 具体 的 镜像 构建 方法 与 使 用 步骤 。 


本 章 会 展示 两 种 创建 镜像 的 过 程 。 其 中 一 些 操作 比较 人 简单 的 镜像 
使 用 Dockerfile 来 创建 ， 而 像 Weblogic 这 样 复杂 的 应 用 ， 则 使 用 commit 
方式 来 创建 ， 读 者 可 根据 自己 的 需求 进行 选择 。 


通过 本 章 的 介绍 ， 用 户 将 可 以 根据 目 己 需求 轻松 定制 Web 服 务 或 
应 用 镜像 。 


11.1 Apache 


Apache 是 一 个 高 稳定 性 的 、 商 业 级 别 的 开源 Web 服 务 器 。 目 前 Apache 已 经 
是 世界 使 用 排名 第 一 的 Web 服 务 器 软件 。 由 于 其 良好 的 跨 平 台 和 安全 性 ， 
Apache 被 广泛 应 用 在 多 种 平台 和 操作 系统 上 。 作 为 Apache 软 件 基金 会 支持 的 项 
目 ， 它 的 开发 者 社区 完善 而 高 效 。 自 1995 年 发 布 至 今 ， 一直 以 高 标准 进行 维护 
与 开发 。Apache 名 称 源 自 美国 的 西南 部 一 个 印第安 人 部 落 : 阿 帕 奇 族 ， 它 支持 
类 UNIX 和 Windows 系 统 。 


P — A Apache 


1. 使 用 官方 镜像 


官方 提供 了 名 为 httpd 的 Apache 镜 像 ， 可 以 作为 基础 Web 服 务 镜 像 。 
编写 Dockerfile 文 件 ， 内 容 如 下 : 


FROM httpd:2.4 
COPY ./public-html /usr/local/apache2/htdocs/ 


创建 项 目 目录 public-htm1， 并 在 此 目录 下 创建 index.html 文 件 : 


<!DOCTYPE html> 
<html> 
<body> 
<p>Hello, Docker !</p> 
</body> 
</html> 


构建 目 定义 镜像 : 


$ docker build -t apache2-image . 


构建 完成 后 ， 使 用 docker run 指 令 运 行 镜像 : 


$ docker run -it --rm --name apache-container -p 80:80 apache2-image 
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e»ec [] 192.168.99.100 


Hello, Docker! 


11-1 Apache 运行 界面 
也 可 以 不 创建 自 定义 镜像 ， 直 接 通过 映射 目录 方式 运行 Apache 容 器 : 


$ docker run -it --rm --name my-apache-app -p 80:80 -v "$PWD":/usr/local/ 
apache2/htdocs/ httpd:2.4 


再 次 打开 浏览 器 ， 可 以 再 次 看 到 页 面 输出 。 
2. 使 用 自 定义 镜像 


首先 ， 创 建 一 个 apache_ubuntu 工 作 目 录 ， 在 其 中 创建 Dockerfile 文 件 、 
run.sh 文 件 和 sample 目 录 : 


$ mkdir apache ubuntu && cd apache ubuntu 
$ touch Dockerfile run.sh 
$ mkdir sample 


下 面 是 Dockerfile 的 内 容 和 各 个 部 分 的 说 明 : 


FROM sshd:Dockerfile 
# 设 置 继承 自用 户 创 建 的 sshd 镜 像 
MAINTAINER docker user (userQdocker.com) 
# 创 建 者 的 基本 信息 
# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 
ENV DEBIAN FRONTEND noninteractive 
# 安 装 
RUN apt-get -yq install apache2&&N 
rm -rf /var/lib/apt/lists/* 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 
?会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 添 加 用 户 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /*.sh 
# 添 加 一 个 示例 的 web 站 点 ， 删 掉 默 认 安 装 在 apache 文 件 夹 下 面 的 文件 ， 并 将 用 户 添 加 的 示例 用 软 链 # 
? 链 到 /var/www/html 目 录 下 
RUN mkdir -p /var/lock/apache2 &&mkdir -p /app && rm -fr /var/www/html && ln -s 
/app /var/www/html 
COPY sample/ /app 
# 设 置 apache 相 关 的 一 些 变量 ， 在 容器 启动 的 时 候 可 以 使 用 -e 参 数 替 代 
ENV APACHE RUN USER www-data 
ENV APACHE RUN GROUP www-data 
ENV APACHE LOG DIR /var/log/apache2 
ENV APACHE PID FILE /var/run/apache2.pid 
ENV APACHE RUN DIR /var/run/apache2 
ENV APACHE LOCK DIR /var/lock/apache2 
ENV APACHE SERVERADMIN adminQlocalhost 
ENV APACHE SERVERNAME localhost 
ENV APACHE SERVERALIAS docker.localhost 
ENV APACHE DOCUMENTROOT /var/www 
EXPOSE 80 
WORKDIR /app 
CMD ["/run.sh"] 


此 sample 站 点 的 内 容 为 输出 Hello Docker! 。 然 后 在 sample 目 录 下 创建 
index.html 文 件 ， 内 容 如 下 : 


<!DOCTYPE html» 
«html» 
«body» 
«p»Hello, Docker!«/p» 
</body> 
</html> 


run.sh 脚 本 内 容 也 很 简单 ， 只 是 启动 apache 服 务 : 


$ cat run.sh 
&!/bin/bash 
exec apache2 -D FOREGROUND 


此 时 ，apache_ubuntu 目 录 下 面 的 文件 结构 为 : 


$ tree . 


|-- Dockerfile 
|-- run.sh 
- sample 
`-- index.html 
1 directory, 3 files 


下 面 ， 用 户 开始 创建 apache: ubuntu 镜像 : 


使 用 docker build 命 令 创 建 apache: ubuntu 镜像 ， 注 意 命令 最 后 的 “.”。 


$ docker build -t apache:ubuntu . 
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O (2250808 L1) 


$ docker run -d -P apache:ubuntu 
64681e2ae943f18eae9f 599dbc43b5f44d9090bdca3d8af641d7b371c124acfd 
$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 

64681e2ae943 apache:ubuntu "/run.sh" 2 seconds ago 
Up 1 seconds 0.0.0.0:49171-222/tcp, 0.0.0.0:49172-»580/tcp 
naughty poincare 

890cO4ff8d76 sshd:Dockerfile "/run.sh" 9 hours ago 
Exited (0) 3 hours ago 0.0.0.0:101-222/tcp high albattani 

3ad7182aa47f sshd:ubuntu "/run.sh" 21 hours ago 


Exited (0) 3 hours ago 0.0.0.0:100-222/tcp focused ptolemy 


在 本 地 主机 上 用 curl 抓 取 网 页 来 验证 刚才 创建 的 sample 站 点 : 


$ curl 127.0.0.1:49172 
Hello Docker! 


读者 也 可 以 在 其 他 设备 上 通过 访问 宿主 主机 ip: 49172 来 访问 sample 站 点 。 


不 知道 有 没有 细心 的 读者 发 现 ， 在 apache 镜 像 的 Dockerfile 中 只 用 EXPOSE 
定义 了 对 外 开放 的 80 端 口 ， 而 在 docker ps-a 命 令 的 返回 中 ， 却 看 到 新 启动 的 容器 
映射 了 两 个 端口 : 22 和 80 。 


但 是 实际 上 ， 当 党 试 使 用 SSH 登 录 到 容器 了 时， 会 发 现 无 法 登录 。 这 是 因为 
在 run.sh 脚 本 中 并 未 启动 SSH 服 务 。 这 说 明 在 使 用 Dockerfile 创 建 镜像 时 ， 会 继承 
父 镜像 的 开放 端口 ， 但 却 不 会 继承 启动 命令 。 因 此 ， 需 要 在 run.sh 脚 本 中 添加 启 


动 sshd 的 服务 的 命令 ; 


$ cat run.sh 

#1/bin/bash 

/usr/sbin/sshd & 

exec apache2 -D FOREGROUND 


再 次 创建 镜像 : 


$ docker build -t apache:ubuntu . 


这 次 创建 的 镜像 ， 将 默认 会 同时 启动 SSH 和 Apache 服 务 。 


下 面 ， 来 看 看 如 何 映射 本 地 目 未 。 可 以 通过 映射 本 地 目录 的 方式 ， 来 指定 


容器 内 Apache 服 务 啊 应 的 内 容 ， 例 如 映射 本 地 主机 上 当前 目录 下 的 www 目 录 到 


内 的 /var/www 目 承 : 


à 


$ docker run -i -d -p 80:80 -p 103:22 -e APACHE SERVERNAME-test -v `pwd`/www:/ 
var/www:ro apache:ubuntu 


在 当前 目录 内 创建 www 目 录 ， 并 放 上 目 定 义 的 页 面 index.html， 内 容 如 下 : 


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> 
«html»«head» 

«title»Hi Docker«/title» 

«/head»«body» 

<h1i>Hi Docker«/hi» 


«p»This is the first day I meet the new world.«/p» 

«p»How are you?«/p» 

«hr» 

«address»Apache/2.4.7 (Ubuntu) Server at 127.0.0.1 Port 80«/address» 
«/body»«/html- 


在 本 地 主机 上 可 访问 测试 容器 提供 的 web 服务， 查看 获取 内 容 为 新 配置 的 


index.html 页 面 信息 。 


11.2 Nginx 


Nginx — 3A JIBESECK AJA UR C ARERR SS, SCHEHTIP ` 
HTTPS ` SMTP ` POP3 ` IMAP ° "E t RT LER fü 35) fera ` 
HTTP 绥 存 或 Web 服 务 器 。Nginx 一 开始 就 专注 于 高 并 发 和 高 性 能 的 应 用 
场景 。 它 使 用 类 BSD 开 源 协议 ， 支 持 Linux、BSD、Mac ` Solaris ` AIX 
等 类 Unix 系 统 ， 同 时 也 有 Windows 上 的 移植 版 本 。 


NGWMX 


本 市 将 介绍 Nginx 官 方 镜像 的 使 用 。 
LEHEN miz 
用 户 可 以 使 用 docker run 指 令 直接 运行 官方 Nginx 镜 像 : 


$ docker run -d -p 80:80 --name webserver nginx 
34bcd01998a76f67b1b9e6abe5b7db5e685af325d6fafbiacdOce84e81e71e5d 


然后 使 用 docker ps 指令 查看 当前 运行 的 docker ps 指令 查看 当前 运行 


$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
34bcd01998a7 nginx "nginx..." 2min ago Up 0.0.0.0:80-280/tcp, 443/tcp 
webserver 


目前 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 口 ， 此 时 可 
以 打开 浏 贤 器 访问 此 地 址 ， 残 可 以 看 到 Nginx 输 出 的 页 面 ， 如 图 11-2 所 


me 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


图 11-2 访问 Nginx 服 务 
2. 自 定义 Web 页 面 


同样 的 ， 创 建 index.htm] 文 件 ， 并 将 index.html 文 件 挂 载 至 容器 中 ， 
即 可 看 到 显示 自 定义 的 页 面 。 


$ docker run --name nginx-container -p 80:80 -v index.html:/usr/share/nginx/ 
html:ro -d nginx 


另外 ， 也 可 以 使 用 Dockerfile 来 构建 新 镜像 。Dockerfile 内 容 如 下 : 


FROM nginx 
COPY ./index.html /usr/share/nginx/html 


开始 构建 镜像 my-nginx: 


$ docker build -t my-nginx . 


构建 成 功 后 执行 docker run 指 令 : 


$ docker run --name nginx-container -d my-nginx 


11.3 Tomcat 


Tomcat 是 由 Apache 软 件 基金 会 下 属 的 Jakarta 项 目 开 发 的 一 个 Servlet 
ar, tHE Sun Microsystems 提 供 的 技术 规范 ， 实 现 了 对 Servlet 和 Java 
Server Page (JSP) 的 文 持 。 同 时 ， 它 提供 了 作为 Web 服 务 器 的 一 些 特 
有 功能 ， 如 Tomcat 管 理 和 控制 平台 、 安 全 域 管 理 和 Tomcat 阅 等 。 由 于 
Tomcat 本 号 也 内 合 了 一 个 HITP 服 务 右 ， 也 可 以 当 作 一 个 单独 的 Web 服 
务 器 来 使 用 。 下 面 介绍 如 何 定 制 Tomcat 镜 像 。 


TOMCAT 


A, ZE Docker Hub 上 搜索 已 有 的 Tomcat 相 天 镜像 的 个 数 : 


$ docker search tomcat |wc -1 
285 


可 以 看 到 ， 已 经 有 285 个 相关 镜像 。 如 是 个 人 开发 或 测试 ， 可 以 随 
意 选 择 一 个 镜像 ， 按 照 提 示 启 动 应 用 即 可 。 


下 面 以 Tomcat 7.0 为 例 介 绍 定制 Tomcat 镜 像 的 步骤 。 
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创建 tomcat7.0_jdk1.6 文 件 夹 ， 从 www.oracle.com 网 站 上 下 载 
sun jdk 1.6 压 缩 包 ， 解 压 为 jdk 目 录 。 


创建 Dockerfile 和 run.sh 文 件 : 


$ mkdir tomcat7.0_jdk1.6 
$ cd tomcat7.0 jdk1.6/ 
$ touch Dockerfile run.sh 


下 载 Tomcat， 可 以 到 官方 网 站 下 载 最 新 的 版 本 ， 也 可 以 直接 使 用 
下 面 链 接 中 给 出 的 版 本 : 


$ wget http://mirror.bit,.edu.cn/apache/tomcat/tomcat-7/v7.0.56/bin/apache-tomcat- 
7.0.56.zip 


解压 后 ，tomcat7.0_jdk1.6 目 录 结 构 应 如 下 所 示 (多 余 的 压缩 包 文 
件 已 经 被 删除 ) 


$ 1s 
Dockerfile  apache-tomcat-7.0.56 jdk run.sh 


2.Dockerfile 文 件 和 其 他 脚本 文件 
Dockerfile 文 件 内 容 如 下 : 


FROM sshd:Dockerfile 

# 设 置 继承 自用 户 创建 的 sshd 镜 像 
MAINTAINER docker user (userQdocker.com) 
# 下 面 是 一 些 创建 者 的 基本 信息 

# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 

ENV DEBIAN FRONTEND noninteractive 

# 注 意 这 里 要 更 改 系统 的 时 区 设置 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 


dpkg-reconfigure -f noninteractive tzdata 
# 安 装 跟 tomcat 用 户 认 证 相关 的 软件 
RUN apt-get install -yq --no-install-recommends wget pwgen ca-certificates && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 
# 设 置 tomcat 的 环境 变量 ， 若 读者 有 其 他 的 环境 变量 需要 设置 ， 也 可 以 在 这 里 添加 。 
ENV CATALINA HOME /tomcat 
ENV JAVA_HOME /jdk 
# 复 制 tomcat 和 jdk 文 件 到 镜像 9 
ADD apache-tomcat-7.0.56 /tomcat 
ADD jdk /jdk 
ADD create tomcat admin user.sh /create tomcat admin user.sh 
ADD run.sh /run.sh 
RUN chmod +x /*.sh 
RUN chmod +x /tomcat/bin/*.sh 
EXPOSE 8080 
CMD ["/run.sh"] 


H 


创建 tomcat 用 户 和 密码 脚本 文件 create_tomcat_admin_user.sh 文 件 ， 


#!/bin/bash 
if [ -f /.tomcat_admin_created ]; then 
echo "Tomcat 'admin' user already created" 
exit 0 
fi 
#generate password 
PASS=${fTOMCAT_PASS:-$(pwgen -s 12 1)} 
_word=$( [ ${TOMCAT_PASS} ] && echo "preset" || echo "random" ) 
echo "=> Creating and admin user with a ${_word} password in Tomcat" 
sed -i -r 's/<\/tomcat-users>//' ${CATALINA HOME}/conf/tomcat-users.xml 
echo '<role rolename="manager-gui"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="manager-script"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="manager-jmx"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="admin-gui"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="admin-script"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo "<user username=\"admin\" password=\"${PASS}\" roles=\"manager-gui, manager- 
script,manager-jmx,admin-gui, admin-script\"/>" >> ${CATALINA_HOME}/conf/ 
tomcat-users.xml 
echo '</tomcat-users>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo "=> Done!" 
touch /.tomcat_admin_created 
echo " a IEEE Gers E EE RIEN ERN a NIE m REA CAREER I M EE E Ie MESI CL B GER MEE IR. 
echo "You can now configure to this Tomcat server using:" 
echo n" 
echo " admin:${PASS}" 
echo n" 
echo i 蚂 三 三 三 三 三 二 三 三 二 三 三 三 三 三 三 三 三 三 三 三 三 二 三 三 二 三 三 二 三 三 三 三 三 三 二 三 三 三 三 三 二 三 三 二 二 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 二 三 三 三 三 三 三 三 


编写 run.sh 脚 本 文件 ， 内 容 为 : 


:!/bin/bash 

if [ ! -f /.tomcat admin created ]; then 
/create tomcat admin user.sh 

fi 

/usr/sbin/sshd -D & 

exec $(CATALINA HOME)/bin/catalina.sh run 


3. 创 建 和 测试 镜像 
通过 下 面 的 命令 创建 镜像 tomcat7.0: jdk1.6: 


$ docker build -t tomcat7.0:jdk1.6 . 


启动 一 个 tomcat 容 器 进行 测试 : 


$ docker run -d -P tomcat7.0:jdk1.6 
3cd4238cb32a713a3a1c29d93fbfc80cba150653b5eb8bd7629bee957e7378ed 


通过 docker logs 得 到 tomcat 的 密码 aBwNOCNCPckw: 


$ docker logs 3cd 
=> Creating and admin user with a random password in Tomcat 
=> Done! 


You can now configure to this Tomcat server using: 
admin:aBwNOCNCPckw 


AA RITH Ym LT fei Jed: 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

3cd4238cb32a tomcat7.0:jdk1.6 "/run.sh" 4 seconds ago 
Up 3 seconds 0.0.0.0:49157-222/tcp, 0.0.0.0:49158-»28080/tcp 


cranky wright 


在 本 地 使 用 浏览 器 登录 Tomcat 管 理 界面 ， 访 问 本 地 的 49158 端 口 ， 
即 http://127.0.0.1:49158， 如 图 11-3 所 示 。 
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If you're seeing this, you've successfully installed Tomcat. Congratulations! 
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输入 从 docker logs 中 得 到 的 密码 ， 如 图 11-4 所 示 。 


€o 需要 验证 & ow 


http//192 168.1.134:40158 ARAP KIEV, S85: — "Tomcat Host Manager Application" 


meg: [umm | 
ea: [ee 


om» | we | 


图 11-4” Tomcat 登录 
成 功 进入 管理 界面 ， 如 图 11-5 所 示 。 
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在 实际 环境 中 ， 可 以 通过 使 用 -v 参 数 来 挂 载 Tomcat 的 日 志文 件 、 程 
序 所 在 目录 、 以 及 与 Tomcat 相 关 的 配置 


11.4 Jetty 


Jetty 是 一 个 优秀 的 开源 Servlet 容 器 ， 以 其 高 效 、 小 巧 、 可 棚 入 式 等 
优点 深 得 人 心 ， 它 为 基于 Java 的 Web 内 容 (如 JSP 和 Servlet) 提供 运行 
环境 。Jetty 基 于 Java 语 言 编 写 ， 它 的 API 以 一 组 JAR 包 的 形式 发 布 。 开 
发 人 员 可 以 将 Jetty 容 器 实例 化 成 一 个 对 象 ， 可 以 迅速 为 一 些 独 立 运 行 
的 Java 旋 用 提供 web 服务 。 


相对 老牌 的 Tomcat，Jetty 架 构 更 合理 ， 性 能 更 优 。 尤 其 在 启动 速度 
上 ， 让 Tomcat 望 持 英 及 。Jetty 目 前 在 国内 外 互联 网 企业 中 应 用 广泛 。 


DockerHub 官 方 提供 了 Jetty 镜 像 ， 直 接 运行 docker run 指 令 即 可 : 


$ docker run -d jetty 


使 用 docker ps 指令 查看 正在 运行 中 的 jetty 容 器 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
frfid70f2773 jetty "/docker-entrypoint.b" x ago Up 8080/tcp 

lonely poitras 


当然 ， 还 可 以 使 用 -p 参 数 映射 运行 端口 : 


$ docker run -d -p 80:8080 -p 443:8443 jetty 
7bc629845e8b953e02e31caaac24744232e21816dcf 81568c029eb8750775733 


使 用 特 主 机 的 浏 砚 大 访问 containerip:8080， 即 可 获得 Jetty 运 行 页 
面 ， 由 于 当前 没有 内 容 ， 会 提示 错误 信息 。 


11.5 LAMP 


LAMP (Linux-Apache-MySQL-PHP) 是 目前 流行 的 Web 工 具 栈 ， 其 中 包 
括 : Linux 探 作 系统 ，Apache 网 络 服务 器 ，MySQL 数 据 库 ，Perl、PHP 或 者 
Python 编程 语言 。 其 组 成 工具 均 是 成 熟 的 开源 软件 ， 被 大 量 网 站 所 采用 。 和 
Java/J2EE 架 构 相 比 ，LAMP 具 有 Web 资 源 丰 富 、 轻 量 、 快 速 开 发 等 特点 ， 和 微 
软 的 .NET 架 构 相 比 ，LAMP 更 具有 通用 、 跨 平台 、 高 性 能 、 低 价格 的 优势 。 
此 LAMP 无 论 是 在 性 能 、 质 量 还 是 价格 方面 都 是 企业 搭建 网 站 的 首选 平台 。 


CAIM A 


Linux MySOL .— PHP,Perl, Python 


Qiz 


现在 也 有 人 用 Nginx 蔡 换 Apache， 称 为 LNMP 或 LEMP， 但 并 不 影响 整个 框 
架 的 选 型 原则 ， 是 彼此 十 分 类 似 的 技术 栈 。 


可 以 使 用 目 定 义 Dockerfile 或 者 Compose 方 式 运 行 LAMP， 同 时 社区 也 提供 
了 十 分 成 熟 的 linode/lamp 和 tutunvlamp 镜 像 。 下 面 介绍 后 两 种 方法 。 


1. 使 用 linode/lamp 镜 像 


首先 ， 执 行 docker run 指 令 ， 直 接 运 行 镜像 ， 并 进入 容 絮 内 部 bash shell: 


$ docker run -p 80:80 -t -i linode/lamp /bin/bash 
root@e283cc3b2908:/# 


在 容器 内 部 shell 启 动 apache 以 及 mysql 服 务 : 


$ root@e283cc3b2908:/# service apache2 start 
* Starting web server apache2 
$ root@e283cc3b2908:/# service mysql start 
* Starting MySQL database server mysqld [ OK ] 
* Checking for tables which need an upgrade, are corrupt or were not closed cleanly. 


此 时 镜像 中 apache、mysql 服 务 已 经 启动 ， 可 使 用 docker ps 指令 查看 运行 中 
HU AER: 


$ docker ps -aCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMESe283cc3b2908 linode/lamp "/bin/bash" x ago Up x seconds 0.0.0.0:80-» 
80/tcp trusting mestorf 


ERNEA 33,88 731 IR] ZI H0 O RT RT Æ SA, DL IRI. e 
2. 使 用 tutumy/lamp 镜 像 
首先 ， 执 行 docker run 指 令 ， 直 接 运行 镜像 : 


$ docker run -d -p 80:80 -p 3306:3306 tutum/lamp 


句 启 动 成 功 后 ， 打 开 浏 览 器 ， 访 问 demo 页 面 : 


Dm 


eə Ç E 192.168.99.100 


Ztutum 


Hello world! 
MySQL Server version: 5.5.47-OubuntuO.14.04.1 


图 11-6 LAMP 容 器 Demo 页 面 


11.6 CMS 


内 容 管理 系统 (Content Management System, CMS) 指 的 是 提供 
内 容 编 辑 服务 的 平台 程序 。CMS 可 以 让 不 懂 编 程 的 用 户 方便 又 轻松 地 
发 布 、 更 改 和 管理 各 类 数字 内 容 (主要 以 文本 和 图 像 为 主 ) 。 


下 面 ， 笔 者 将 以 Wordpress 和 Ghost 两 个 流行 的 CMS 软件 为 例 ， 介 绍 
如 何 制作 和 使 用 对 应 的 Docker 镜 像 。 


11.6.1 WordPress 


WordPress 是 风 厅 全 球 的 开源 内 容 管理 系统 ， 是 博客 、 企 业 官 网 、 
产品 首页 等 内 容 相 关 平台 的 主流 实现 方案 之 一 。 类 似 项 目 还 有 Drupal、 


Joomla、Typo3 等 。 


WordPress 基 于 PHP 和 和 MySQL， 染 构 设 计 简单 明了 ， 文 持 主 题 ， 搬 
件 和 各 种 功能 模块 。 更 重要 的 是 ，WordPress 拥 有 庞大 的 社区 ， 在 线 资 
源 非 常 丰富， 并且 在 各 大 网 络 空间 商 和 云 平 台中 受到 广泛 的 文 持 。 根 
据 2013 年 8 月 的 统计 数据 ， 流 量 排 名 前 一 千 万 的 网 站 中 其 使 用 率 高 达 
2296 ° 


1. 使 用 官方 镜像 


首先 ， 通 过 Docker Hub 下 载 官 方 wordpress 镜 像 ， 


$ docker pull wordpress 


然后 ， 就 可 以 创建 并 运行 一 个 wordpress 容 器 ， 并 连接 到 mysql 容 


$ docker run --name some-wordpress 


--link some-mysql:mysql -d wordpress 
同样 ， 用 户 可 以 使 用 -p 参 数 来 进行 端口 映射 : 


$ docker run --name some-wordpress - 


-link some-mysql:mysql -p 8080:80 -d wordpress 


启动 成 功 后 ， 可 在 浏览 絮 中 访问 http://localhost:8080 来 打开 
WordPress 页 面 。 


2. 使 用 Compose 搭 建 WordPress 应 用 


可 以 使 用 Compose 来 一 键 搭 建 WordPress 应 用 » 
首先 ， 新 建 docker-compose.yml 文 件 : 


wordpress: 
image: wordpress 
links: 
- db:mysql 
ports: 
- 8080:80 
db: 


image: mariadb 
environment: 
MYSQL ROOT PASSWORD: example 


然后 执行 : 


$ docker-compose up 


Qaz 


如 采 提 示 没 有 docker-compose 命 令 ， 可 以 通过 pip install docker- 
compose 来 在 线 安 装 。 


竺 服务 局 动 后 ， 即 可 打开 浏览 锅 访 问 本 地 80 端 口 打开 WordPress 配 
置 界面 ， 如 图 11-7 所 示 。 


[3 192.168.99.100:8080/wp-admin/install.php 


W 


Welcome to the famous five-minute WordPress installation process! Just fill in the information below and 
you'll be on your way to using the most extendable and powerful personal publishing platform in the world. 


Welcome 


Information needed 


Please provide the following information. Don't worry, you can always change these settings later. 


NM -—— 


Usernames can have only alphanumeric characters, «paces, underscares, hyphens, periods, and the 
@ symbol. 


GE: 


Important: You will need this password to log in. Please store it in a secure location. 


Your Email 


Double-check your email address before continuing. 


Search Engine O Discourage search engines from indexing this site 
Visibility Itis upto search engines to honor this request. 


Install WcrdPress 


图 11-7 WordPress 容 器 启动 页 面 


11.6(2 Ghost 


Ghost 是 一 个 广 受 欢迎 的 开源 博客 平台 ， 使 用 JavaScript 编 写 ， 以 
MIT 协 议 发 布 。 它 的 设计 非常 简约 ， 使 用 起 来 体验 优异 ， 非 常 适合 做 内 
容 发 布 ， 故 而 受到 很 多 极 客 或 技术 工作 者 的 喜爱 。 


host 


读者 可 以 直接 使 用 Docker Hub 提 供 的 官方 Ghost 镜 像 。 直接 使 用 


一 一 


docker runf& 3217: 


$ docker run --name ghost-container -d ghost 


至 此 已 经 成 功 启动 了 一 个 Ghost 容 絮 ， 如 图 11-8 所 示 ， 内 含 Ghost 实 
例 并 监听 默认 的 2368 服 务 端 口 。 当 然 可 以 对 服务 进行 端口 映射 ， 如 下 
所 示 : 


$ docker run --name ghost-container-1 -p 8080:2368 -d ghost 
df116b7d570b3456950f4d7c22ff691112442740166350808176e884922b491a2d 


[3j 192.168.99.100:8080 


Ghost 


Just a blogging platform. 


Welcome to Ghost 


You're live! Nice. We've put together a little post to introduce you to the Ghost editor 
and get you started. You can manage your content by » 


Ghost Owner on Getting Started | 23 MAY 2016 


Page 1 of 1 


图 11-8 ”Ghost 容器 启动 页 面 


读者 还 可 以 挂 载 书 有 的 内 容 到 Ghost 容器 内 : 


$ docker run --name Some-ghost -v /path/to/ghost/blog:/var/lib/ghost ghost 


11.7 ”持续 开发 与 管理 


信息 行业 日 新 月 寞 ， 如 何 响 应 不 断 变 化 的 需求 ， 快 速 适 应 和 保证 
软件 的 质量 ? 持续 集成 (Continuous integration, CI) 正 是 针对 这 类 问 
题 的 一 种 开发 实践 ， 它 倡导 开发 团队 定期 进行 集成 验证 。 集 成 通过 目 
动 化 的 构建 来 完成 ， 包 括 目 动 编译 、 发 布 和 测试 ， 从 而 尽快 地 发 现 错 
误 。CI 所 描述 的 软件 开发 是 从 原始 需求 识别 到 最 终 产 品 部 署 整 个 过 程 
中 ， 需 求 以 小 批量 形式 在 团队 的 各 个 角色 间 顺 畅 流 动 ， 能 够 以 较 短 地 
周期 完成 需求 的 小 粒度 频繁 交付 。 整 个 过 程 中 ， 需 求 分 析 、 产 品 的 用 
户 体验 和 交互 设计 、 开 发 、 测 试 、 运 维 等 角色 需要 密切 协作 。 


持续 集成 特点 包括 : 从 检 出 代码 、 编 译 构 建 、 运 行 测试 、 结 果 记 
杂 、 测 试 统计 等 都 症 目 动 完成 的 ， 减 少 人 工 干预 。 需 要 有 持续 集成 系 
统 的 文 持 ， 包 括 代码 托管 机 制 支持 ， 以 及 集成 服务 侨 等 。 


持续 交付 (Continuous delivery，CD) 则 是 经 典 的 敏捷 软件 开发 方 
法 的 目 然 延 件 ， 它 强调 产品 在 修改 后 到 部 署 上 线 的 流程 要 敏捷 化 、 目 
动 化 。 甚 至 一 些 较 小 的 改变 也 要 今 早 的 部 嗜 上 线 ， 这 跟 传 统 软 件 在 较 
大 版 本 更 新 后 才 上 线 的 思想 不 同 。 


11.7.1 Jenkins 


Jenkins 是 一 个 得 到 广泛 应 用 的 持续 集成 和 持续 交付 的 工具 。 作 为 
开源 软件 项 目 ， 它 虽 在 提供 一 个 开放 易 用 的 持续 集成 乎 台 。Jenkins 能 
实时 监控 集成 中 存在 的 错误 ， 提 供 详细 的 日 志文 件 和 提醒 功能 ， 并 用 
图 表 的 形式 形象 地 展示 项 目 构建 的 趋势 和 稳定 性 。Jenkins 特 点 包括 安 
装配 置 简单 、 文 持 详 细 的 测试 报表 、 分 布 式 构建 等 。 


自 2.0 版 本 ，Jenkis 推 出 了 Pipeline as Code， 帮 助 Jenkins 实 现 对 CI 和 
CD 更 好 的 文 持 。 通 过 Pipeline， 将 原本 独立 运行 的 多 个 任务 连接 起 来 ， 
可 以 实现 十 分 复杂 的 发 布 流程 ， 如 图 11-9 所 示 。 


Development 


图 11-9 Jenkins Pipeline 示 意图 


Jenkins 官 方 在 Docker Hub 上 提供 了 全 功能 的 基于 官方 发 布 版 的 
Docker 镜 像 。 读 者 可 以 方便 地 使 用 docker run 指 令 一 键 部 署 Jenkins 服 
务 ， 如 下 所 示 : 


$ docker run -p 8080:8080 -p 50000:50000 jenkins 


Jenkins 容 器 启动 成 功 后 ， 可 以 打开 浏览 器 访问 8080 端 口 ， 查 看 
Jenkins 管 理 界面 ， 如 图 11-10 所 示 。 
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图 11-10 ”Jenkins 服 务 管理 界面 


目前 运行 的 容 絮 中 ， 数 据 会 存储 在 工作 目录 /var/jenkins_home 中 ， 
这 包括 Jenkins 中 所 有 的 数据 ， 包 括 插件 和 配置 信息 等 。 如 果 需 要 数据 
持久 化 ， 读 者 可 以 使 用 数据 卷 机 制 : 


$ docker run -p 8080:8080 -p 50000:50000 -v /your/home:/var/jenkins home jenkins 


以 上 指令 会 将 Jenkins 数 据 存 储 于 宿主 机 的 /your/home 目 录 (需要 确 
保 /wyourvhome 目 孙 对 于 容器 内 的 Jenkins 用 户 是 可 访问 的 ) 下 。 当 然 也 可 
以 使 用 数据 卷 容 句 : 


$ docker run --name myjenkins -p 8080:8080 -p 50000:50000 -v /var/jenkins home 
jenkins 


11.7.2 Gitlab 


Gitlab 是 一 球 非 常 强大 的 开源 源码 管理 系统 。 它 支持 基于 Git 的 源码 
管理 、 代 码 评审 、issue 跟 踪 、 活 动 管 理 、wiki 页 面 ， 持 续集 成 和 测试 等 
功能 。 基 于 Gitlab， 用 户 可 以 自己 搭建 一 套 类 似 Github 的 开发 协同 平 


o 


Y GitLab 


Gitlab 官 方 提供 了 社区 版 本 (Gitlab CE) 的 DockerHub 镜 像 。 读 者 
可 以 直接 使 用 docker run 指 令 运 行 : 


$ docker run --detach \ 

--hostname gitlab.example.com \ 

--publish 443:443 --publish 80:80 --publish 23:23 \ 

--name gitlab \ 

--restart always \ 

--volume /srv/gitlab/config:/etc/gitlab \ 

--volume /srv/gitlab/logs:/var/log/gitlab \ 

--volume /srv/gitlab/data:/var/opt/gitlab \ 

gitlab/gitlab-ce:latest 
dbae485d24492f656d2baf18526552353cd55aac662e32491046ed7fa033be3a 


成 功 运 行 镜像 后 ， 读 者 可 以 打开 浏览 器 ， 访 问 Gitlab 服 务 管理 界 
面 ， 如 图 11-11 所 示 。 


[5 192.168.99.100/users/passwordjedit?reset_password_token=cszvBC8LjzLxqgdunhkT 


v 


Please createa password for your new account. 


GitLab Community Edition 


Change your password 
Open source software to collaborate on code New password 
Manage git repositories with fine grained access controls that keep Confirm new password 


your cade secure. Perform code reviews and enhance collaboration 


with merge requests. Each project can also have an issue tracker and a 


wiki, 
Didn't raceive confirmation instructions? 


Already have login and password? Sign in 


Explore Help  AboutGitLab 


图 11-11 ”Gitlab 服 务 管理 界面 


11.8 本章 小 结 


本 章 首 和 完 介 绍 了 常见 的 Web 服 务工 具 ， 包 括 Apache、Nginx、 
Tomcat、Jetty， 以 及 大 名 易 易 的 LAMP 组 合 。 之 后 还 对 目前 流行 的 内 
容 管 理 系统 、 持 续 开发 模式 和 工具 的 快速 部 署 进行 了 讲解 。 通 过 这 些 
例子 ， 读 者 可 以 快速 入 门 Web 开 发 ， 并 再 次 体验 到 基于 容 需 模式 的 开 
发 和 部 署 模式 的 强大 。 

笔者 认为 ， 包 括 Web 服 务 在 内 的 中 间 件 领域 十 分 适合 引入 容器 技 
术 ， 原 因 如 下 : 

中 间 件 服务 器 是 除数 据 库 服 务 器 外 的 主要 计算 节点 ， 很 容易 成 为 
性 能 和 瓶 贷 ， 所 以 通常 需要 大 批量 部 署 ， 而 Docker 对 于 批量 部 署 有 着 许 
多 先天 的 优势 ; 


中间 件 服务 絮 结 构 清晰 ， 在 剥离 了 配置 文件 、 日 志 、 代 码 目 录 之 
后 ， 容 器 几乎 可 以 处 于 零增长 状态 ， 这 使 得 容 絮 的 迁移 和 批量 部 署 更 
加 方便 ; 


:中间 件 服务 器 很 容易 实现 集群 ， 在 使 用 硬件 的 F5、 软 件 的 Nginx 
等 负载 均衡 后 ， 中 间 件 服务 做 集群 变 得 非常 容易 。 


在 实践 过 程 中 ， 读 者 需要 注意 数据 的 持久 化 。 对 于 程序 代码 、 程 
序 的 资源 目录 、 日 志 、 数 据 库 文件 等 需要 实时 更 新 的 数据 一 定 要 通过 - 
Vv 参数 映射 到 宿主 主机 的 目 隶 中 来 ， 避 人 免 发 生 数 据 丢 失 和 市 来 性 能 下 


降 。 


781238 ”数据库 应 用 


目前 ， 主 流 数据 库 包 括 关 系 型 (SQL) 和 非 关 系 型 (NoSQL) 两 
种 。 


天 系数 据 库 是 建立 在 关系 模型 基础 上 的 数据 库 ， 借 助 于 集合 代数 
等 数学 概念 和 方法 来 处 理 数 据 库 中 的 数据 ， 文 持 复 杂 的 事物 处 理 和 结 
构 化 查询 。 代 表 实 现 有 MySQL ^ Oracle ^ PostGreSQL ` MariaDB ^ 


SQLServer 等 。 


非 关 系数 据 库 是 新 兴 的 数据 库 技 术 ， 它 放弃 了 传统 关系 型 数据 库 
的 部 分 强 一 致 性 限制 ， 带 来 性 能 上 的 提升 ， 使 其 更 适用 于 需要 大 规模 
并 行 处 理 的 场景 。 非 关系 型 数据 库 是 关系 型 数据 库 的 展 好 补充 ， 代 表 
产品 有 MongoDB、Redis、CouchDB 等 。 


本 章 选 取 了 最 具 代表 性 的 Mysql、Mongodb、Redis、 
Memcached、CouchDB、Cassandra 等 数据 库 软 件 ， 来 讲解 基于 Docker 
创建 相关 镜像 并 进行 应 用 的 过 程 。 


12.1 MySQL 


MySQL 是 全 球 最 流行 的 开源 的 开源 关系 数据 库 软 件 之 一 ， 因 为 其 
高 性 能 、 成 熟 可 靠 和 适应 性 而 得 到 广泛 应 用 。MySQL 目 前 在 不 少 大 规 
模 网 站 和 应 用 中 被 使 用 ， 比 如 Facebook、Twitter 和 和 Yahoo! 等 。 


MySQL. 
使 用 官方 镜像 可 以 快速 启动 一 个 MySQL Server 实 例 ， 如 下 所 示 : 


$ docker run --name hi-mysql -e MYSQL ROOT PASSWORD-123 -d mysql:latest 
e6cb906570549812c798b7b3ce46d669a8a4e8ac62a3f 3c8997e4c53d16301b6 


以 上 指令 中 的 hi-mysql 是 容 釉 名 称 ，123 为 数据 库 的 root 密 码 。 


使 用 docker ps 指令 可 以 看 到 现在 运行 中 的 容器 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

e6cb90657054 mysql "docker-entrypoint.sh" 4 minutes ago Up 3 minutes 3306/tcp 
hi-mysql 


SQ, Ea DL GERI --linkbR S RE T NIE SR XERCEMySQLAZE 8: 


$ docker run --name some-app --link some-mysql:mysql -d application-that-uses- 
mysql 
MySQL 服 务 的 标准 端口 是 3306， 用 户 可 以 通过 CLI 工 具 对 配置 进 
行 修改 : 
$ docker run -it --link some-mysql:mysql --rm mysql sh -c 'exec mysql -h"$MYSQL 


PORT 3306 TCP ADDR" -P'"$MYSQL PORT 3306 TCP PORT" -uroot -p'"$MYSQL ENV MYSQL 
ROOT. PASSWORD" ' 


7; MySQL Bi n] DEZ ZR PX, XEBedEDockerBV # XE EH 
MySQL Æ Hi|: 


$ docker run -it --rm mysql mysql -hsome.mysql.host -usome-mysql-user -p 


PA 统 与 日 志 访 问 


用 户 可 以 使 用 docker exec 指 令 调 用 内 部 系统 中 的 bash shell， 以 访问 


Zins TD AR E: 


N 


$ docker exec -it some-mysql bash 


MySQL Server H i n] DA fs H docker logs 指 令 查 看 : 


$ docker logs some-mysql 


2. 使 用 目 定义 配置 文件 


如 果 用 户 希 望 使 用 自 定 义 MySQL 配 置 ， 则 可 以 创建 一 个 目录 ， 内 
置 cnf 配 置 文件 ， 然 后 将 其 挂 载 至 容器 的 /etc/mysql/conf.d 目 录 。 比 如 ， 
自 定 义 配 置 文件 为 /my/custom/config-file.cnf， 则 可 以 使 用 以 下 指令 : 


$ docker run --name some-mysql -v /my/custom:/etc/mysql/conf.d -e MYSQL ROOT_ 
PASSWORD2my-secret-pw -d mysql:tag 


这 是 新 的 容器 Some-mysql 启 动 后 ， 就 会 结合 使 用 /etc/mysql/my.cnf 
和 和 /etc/mysql/conf.d/config-file.cnf 两 个 配置 文件 。 


3. 脱 离 cnf 文 件 进行 配置 


很 多 的 配置 选项 可 以 通过 标签 (flags) 传递 至 mysqld 进 程 。 这 样 
用 户 就 可 以 脱离 cnf 配 置 文件 ， 对 容器 进行 弹性 的 定制 。 比 如 ， 用 户 需 


要 改变 默认 编码 方式 ， 将 所 有 表格 的 编码 方式 修改 为 uft8mb4， 则 可 以 
他 用 


$ docker run --name some-mysql -e MYSQL ROOT PASSWORD=my-secret-pw -d mysql:tag 
--character-set-server-utf8mb4 --collation-server-utf8mb4 unicode ci 


如 采 需 要 查看 可 用 选项 的 完整 列表 ， 可 以 执行 : 


$ docker run -it --rm mysql:tag --verbose --help 


12.2 MongoDB 


MongoDB 是 一 款 可 扩展 、 高 性 能 的 开源 文档 数据 库 ， 是 当今 最 流 
行 的 NoSQL 数 据 库 软件 之 一 。 它 采用 C++ 开发 ， 文 持 复杂 的 数据 类 型 
和 强大 的 查询 语言 ， 提 供 了 关系 数据 库 的 绝 大 部 分 功能 。 由 于 
MongoDB 高 性 能 、 易 部 署 、 易 使 用 等 特点 ， 已 经 在 很 多 领域 都 得 到 了 
广泛 的 应 用 。 


mongobDb 


12.2.1 使 用 官方 镜像 


用 户 可 以 使 用 docker run 指 令 直 接 运 行 官方 mongodb 锐 像 : 


$ docker run --name mongo-container -d mongo 
ade2b5036f457a6a2e7574fd68cf7a3298936f27280833769e93392015512735 


之 后 ， 可 以 通过 docker ps 指令 得 看 正在 运行 的 mongo-container 容 器 


的 容器 ID: 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

ade2b5036f45 mongo "/entrypoint.sh mongo" 1 hours ago Up 22 hours 27017/tcp 
mongo-container 


在 此 mongo 容 器 局 动 一 个 bash 进 程 ， 并 通过 mongo 指 令 局 动 
mongodb 交 互 命令 行 ， 再 通过 db.stats() 指 令 查 看 数据 库 状态 : 


$ docker exec -it ade2b5036f45 sh 

# mongo 

MongoDB shell version: 3.2.6 

connecting to: test 

> show dbs 

local 0.000GB 

> db.stats() 

{ 
"db" : "test", 
"collections" : 1, 
"objects" : 1, 
"avgObjSize" : 39, 
"dataSize" : 39, 
"storageSize" : 16384, 
"numExtents" : O, 
"indexes" : 1, 
"indexSize" : 16384, 
"ok" i dq 


这 里 用 户 可 以 通过 env 指 令 查看 环境 变量 的 配置 : 


rootQade2b5036f45:/bin£ env 

HOSTNAME-ade2b5036f45 

MONGO VERSION-3.2.6 

PATH-/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 

GPG KEYS-DFFA3DCF326E302C4787673A01CAE7FAAAB2461C 42F3E95A2CA4F08279C4960ADD 
68FA50OFEA312927 

PWD-/bin 

SHLVL-1 

HOME-/root 

MONGO MAJOR-3.2 

GOSU VERSION-1.7 

.-/usr/bin/env 

OLDPWD-/ 


镜像 默认 骏 露 了 mongodb 的 服务 端口 : 27017， 可 以 通过 该 端口 访 
问 服 务 。 


1. 连 接 mongodb 容 属 
使 用 --link 参 数 ， 连 接 新 建 的 mongo-container 容 器 : 


$ docker run -it --link mongo-container:db alpine sh 
/ st 1s 


进入 alpine 系 统 容 絮 后 ， 用 户 可 以 使 用 ping 指 令 测 试 redis 容 器 的 连 
通 性 : 


/ # ping db 
PING db (172.17.0.5): 56 data bytes 
64 bytes from 172.17.0.5: seq=0 ttl-64 time-z0.093 ms 
64 bytes from 172.17.0.5: seq-1 ttl-64 time-0.104 ms 
^C 
- db ping statistics --- 
2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max - 0.093/0.098/0.104 ms 


2. 直 接 使 用 mongo cli 指 令 


如 果 想 直接 在 答 主 机 右上 使 用 mongodb 镜 像 ， 可 以 在 docker run 指 
令 后 面 加 入 entrypoint 指 令 ， 这 样 就 可 以 非常 方便 的 直接 进入 mongo cli 
Te 


docker run -it --link mongo-container:db --entrypoint mongo mongo --host db 
db.version(); 
2 


$ 
> 
3.2.6 

> db.stats(); 
{ 


"db" d "test", 


"collections" : 0, 
"objects" : ©, 
"avgObjSize" : ©, 
"dataSize" : 0, 
"storageSize" : 0, 
"numExtents" : O0, 
"indexes" : 90, 
"indexSize" : 0, 
"fileSize" : 0, 
"ok" : 1 


» show dbs 
local 20.000GB 


最 后 ， 还 可 以 使 用 --storageEngine 参 数 来 设置 储存 引擎 : 


$ docker run --name mongo-container -d mongo --storageEngine wiredTiger 


12.2.2 d£ Hi BE Y Dockerfile 


首先 十 准备 工作 。 新 建 项 目 目 录 ， 并 在 根 目录 新 建 Dockerfile， 内 
容 如 下 : 


s 设置 从 用 户 之 前 凶 
FROM sshd 
MAINTAINER docker user (userQdocker.com) 
RUN apt-get update && \ 
apt-get install -y mongodb pwgen && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 
# 创建 nongodb 存 放 数 据 文件 的 文件 夹 
RUN mkdir -p /data/db 
VOLUME /data/db 
ENV AUTH yes 
# 添加 脚本 
ADD run.sh /run.sh 
ADD set mongodb password.sh /set mongodb password.sh 
RUN chmod 755 ./*.sh 
EXPOSE 27017 
EXPOSE 28017 
CMD ["/run.sh"] 


Rm. 


建 的 sshd 镜 像 继 承 。 


b= 


新 建 st mongodb_password.sh 脚 本 。 此 脚本 主要 负责 配置 数据 库 的 
用 户 名 和 密码 : 


#!/bin/bash 

# 这 个 脚本 主要 是 用 来 设置 数据 库 的 用 户 名 和 密码 。 

# 判断 是 否 已 经 设置 过 密码 。 

if [ -f /.mongodb password set ]; then 
echo "MongoDB password already set!" 
exit 0 


fi 
/usr/bin/mongod --smallfiles --nojournal & 
PASS-$(MONGODB PASS:-$(pwgen -s 12 1)) 
-word-$( [ $[MONGODB PASS) ] && echo "preset" || echo "random" ) 
RET-1 
while [[ RET -ne © ]]; do 
echo "-» Waiting for confirmation of MongoDB service startup" 
sleep 5 
mongo admin --eval "help" »/dev/null 2>&1 
RET-$? 
done 
4 通过 docker logs + id 可 以 看 到 下 面 的 输出 。 
echo "=> Creating an admin user with a $( wordj password in MongoDB" 
mongo admin --eval "db.addUser([user: 'admin', pwd: '$PASS', roles: 
[ 'userAdminAnyDatabase', 'dbAdminAnyDatabase' ]});" 
mongo admin --eval "db.shutdownServer();" 
echo "-» Done!" 
touch /.mongodb password set 
echo Mee 
echo "You can now connect to this MongoDB server using:" 
echo n" 
echo " mongo admin -u admin -p $PASS --host «host» --port «port»" 
echo n" 
echo "Please remember to change the above password as soon as possible!" 
echo Mee eee 


新 建 run.sh， 此 脚本 是 主要 的 mongodb 局 动 脚 本 : 


:!/bin/bash 
if [ ! -f /.mongodb password set ]; then 
/set mongodb password.sh 

fi 
if [ "SAUTH" == "yes" ]; then 
# 这 里 读者 可 以 自己 设 定 Mongodb 的 启动 参数 。 

export mongodb-'/usr/bin/mongod --nojournal --auth --httpinterface --rest' 
else 

export mongodb-'/usr/bin/mongod --nojournal --httpinterface --rest' 


if [ ! -f /data/db/mongod.lock ]; then 
eval $mongodb 

else 
export mongodb-$mongodb' --dbpath /data/db' 
rm /data/db/mongod.lock 


mongod --dbpath /data/db --repair && eval $mongodb 
fi 


第 二 步 ， 使 用 docker build 指 令 构建 镜像 


$ docker build -t mongodb-image . 


BF, BIRERE, AT] LL 2701771280171 L1] Zt: 


$ docker run -d -p 27017:27017 -p 28017:28017 mongodb 


通过 docker logs 来 查看 默认 的 admin 帐 户 密 码 : 


$ docker logs sa9 


You can now connect to this MongoDB server using: 
mongo admin -u admin -p 5elsT6KtjrqV --host «host» --port «port» 
Please remember to change the above password as soon as possible! 


屏幕 输出 中 的 5elsT6KtjrqV 束 是 admin 用 户 的 密码 。 


也 可 以 利用 环境 变量 在 容器 启动 时 指定 密码 : 


$ docker run -d -p 27017:27017 -p 28017:28017 -e MONGODB_PASS="mypass" mongodb 


甚至 ， 设 定 不 需要 密码 即 可 访问 : 


$ docker run -d -p 27017:27017 -p 28017:28017 -e AUTH=no mongodb 


EE, BA n MEH -vA RR E Hoe ^ 


12.3 Redis 


Redis 是 一 个 开源 (BSD 许 可 ) 的 基于 内 存 的 数据 结构 存储 系统 ， 
可 以 用 作 数 据 库 、 缓 存 和 消 妃 中 间 件 。 


Redis 使 用 ANSI C 实 现 ，2013 年 起 由 Pivotal 公 司 资助 。Redis 的 全 称 


意 为 REmote DIctionary Server ° 
通过 docker run 指 令 可 以 直接 局 动 一 个 redis-container 容 骼 ; 


$ docker run --name redis-container -d redis 
6f7d16f298e9c505f35ae28b61b4015877a5b0b75c60797fa4583429e4a14e24 


之 后 可 以 通过 docker ps 指令 查看 正在 运行 的 redis-container 容 器 的 容 
e&ID: 
$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 


6f7d16f298e9 redis "docker-entrypoint.sh" 32 seconds ago Up 31 seconds 6379/tcp 
redis-container 


在 此 redis 容 器 启动 bash， 并 查看 容器 的 运行 时 间 和 内 存 状况 : 


$ docker exec -it 6f7d16f298e9 bash 

root@6f7d1i6f298e9:/data# uptime 

12:26:19 up 20 min, © users, load average: 0.00, 0.04, 0.10 
rootQ6f7d16f298e9:/datas free 


total used free shared buffers cached 
Mem: 1020096 699280 320816 126800 50184 527260 
-/* buffers/cache: 121836 898260 
Swap: 1181112 0 1181112 


同样 可 以 通过 env 指 令 查看 环境 变量 的 配置 : 


rootQ6f7d16f298e9:/datac env 

HOSTNAME-6f 7d16f298e9 

REDIS DOWNLOAD URL-http://download.redis.io/releases/redis-3.0.7.tar.gz 
PATH-/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
PWD-/data 

SHLVL-1 

HOME-/root 


REDIS_DOWNLOAD_SHA1=e56b4b7e033ae8dbf311f9191cf6fdf3ae974d1c 
REDIS VERSION-3.0.7 

GOSU VERSION-1.7 

.-/usr/bin/env 


也 可 以 通过 ps 指令 查看 当前 容 右 运行 的 进程 信息 : 


root@6f7d1i6f298e9:/data# ps -ef 


UID PID PPID C STIME TTY TIME CMD 

redis 1 9 9 12:16 ? 00:00:02 redis-server *:6379 
root 30 (0) 9 12:51 ? 00:00:00 sh 

root 39 30 9 12:52 ? 00:00:00 ps -ef 


1E redis 28 


N 


用 户 可 以 使 用 --link 参 数 ， 连 接 创建 的 redis-container 容 器 : 


$ docker run -it --link redis-container:db alpine sh 
/ st 1s 


进入 alpine 系 统 容 右 后 ， 可 以 使 用 ping 指 令 测 试 redis 容 器 : 


/ # ping db 

PING db (172.17.0.2): 56 data bytes 

64 bytes from 172.17.0.2: seq=0 ttl-64 time-0.088 ms 

64 bytes from 172.17.0.2: seq-1 ttl-64 time-0.103 ms 

--- db ping statistics --- 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max - 0.088/0.095/0.103 ms 


还 可 以 使 用 nc 指令 (BBNetCat) 检测 redis 服 务 的 可 用 性 : 


/ 4 nc db 6379 
PING 
*PONG 


官方 镜像 内 也 目 市 了 redis 客 户 端 ， 可 以 使 用 以 下 指令 直接 使 用 : 


$ docker run -it --link redis-container:db --entrypoint redis-cli redis -h db 
db:6379» ping 

PONG 

db:6379» set 12 

OK 

db:6379» get 1 

ron" 


2. 使 用 目 定义 配置 


可 以 通过 数据 卷 实现 目 定 义 redis 配 置 ， 如 下 所 示 : 


$ docker run -v /myredis/conf/redis.conf:/usr/local/etc/redis/redis.conf --name 
myredis redis redis-server /usr/local/etc/redis/redis.conf 


12.4 Memcached 


Memcached 是 一 个 高 性 能 、 分 布 式 的 开源 内 存 对 象 缓存 系统 。 最 
初 是 Danga Interactive 为 了 优化 LiveJournal 的 访问 速度 而 编写 的 。 目 前 
已 经 非常 广泛 的 应 用 于 各 种 Web 应 用 中 。 以 BSD license 授 权 协 议 发 布 。 


MEMCACHED 


Memcached 守 护 进 程 基于 C 语 言 实 现 ， 基 于 libevent 的 事件 处 理 可 以 


实现 很 高 的 性 能 。 需 要 注意 的 是 ， 由 于 数据 仅 存 在 于 内 存 中 ， 因 此 重 
局 Memcached 或 重 局 操作 系统 会 导致 数据 全 部 丢失 。 


可 以 直接 通过 官方 提供 的 memcached 镜 像 运行 一 个 memcached- 


PR BA 


container fè: 


$ docker run --name memcached-container -d memcached 
94e957b52be9a254954cddd23d64ba520493519a19c2e548b4e3dd7f41475b2a 


在 docker run 指 令 中 可 以 设 定 memcached server 使 用 的 内 存 大 小 : 


$ docker run --name memcached-container-2 -d memcached memcached -m 64 
bde9544643ac2a43945322c9bde76342dfc55db12875973da83408a8d239f94c 


以 上 指令 会 将 memcached server 的 内 存 使 用 量 设置 为 64MB 。 


IERT, Ripe a ET ENL EL Bételnetill] 5577 memcached zs , 
并 直接 输入 客户 端 命令 


$ telnet 192.168.99.100 11211 
Trying 192.168.99.100... 
Connected to 192.168.99.100. 
Escape character is '^]'. 
stats 

STAT pid 1 

STAT uptime 19 

STAT time 1462972021 

STAT version 1.4.25 


END 


12.5 CouchDB 


CouchDB 是 一 款 面 向 文档 的 NoSQL 数 据 库 ， 以 JSON 格 式 存 储 数 
据 。 它 兼容 ACID， 可 以 用 于 存储 网 站 的 数据 与 内 容 ， 以 及 提供 缓存 
等 。CouchDB 里 文档 域 (Field) 都 是 以 键 值 对 的 形式 存储 的 ， 对 数据 
的 每 次 修改 都 会 得 到 一 个 新 的 文档 修订 号 。 


CouchDB 侧 重 于 AP (可 用 性 和 分 区 容忍 度 ) 。 相 比 之 下 ， 
MongoDB 侧 重 于 CP (一 致 性 和 分 区 容忍 度 ) ，Neo4j 则 提供 了 特有 的 
面向 图 形 的 结构 。 


可 以 直接 使 用 docker run 指 令 运行 官方 镜像 ， 如 下 所 示 : 


$ docker run -d --name couchdb-container couchdb 
50badad3e71da22b77bfd5522b27aa77299b649560254343d4a0c80c52a37c36 


这 个 镜像 中 CouchDB 的 默认 端口 是 5984， 用 户 可 以 使 用 link 指 令 
行 容器 链接 : 


$ docker run --name couchdb-app --link couchdb-container:couch couchdb 


获取 容器 IP 之 后 ， 用 户 可 以 使 用 curl 指 令 ， 通 过 CouchDB API 来 操 
作 CouchDB 容 器 : 
$ curl http://192.168.99.100:5984 


("couchdb" :"Wwelcome","uuid":"7298b57db384b931f43bbc8c49e75b53", 'version":"1.6.1", 
"vendor":("name":"The Apache Software Foundation", "version":"1.6.1"}} 


12.6 Cassandra 


Cassandra 是 个 开源 (Apache License 2.0) 4) 4 AZE, CHE 
分 散 的 数据 存储 ， 可 以 实现 容错 以 及 无 单 点 故障 等 。Cassandra 在 设计 
上 引入 了 P2P 技 术 ， 具 备 大 规模 可 分 区 行 存储 能 力 ， 并 文 持 Spark、 
Storm、Hadoop 的 集成 。 目 前 Facebook、Twitter、Instagram、eBay、 
Github、Reddit、Netflix 等 多 家 公司 都 在 使 用 Cassandra。 类 似 工具 还 有 


HBase 等 。 


cassandra 


1. 使 用 官方 镜像 


首先 可 以 使 用 docker run 指 令 基于 Cassandra 官 方 镜像 启动 容器 : 


$ docker run --name my-cassandra -d cassandra:latest 
1dde81cddc53322817f8c6e67022c501759d8d187a2de40f1a25710a5f2dfa53 


这 里 的 --name 标 签 指 定 容 絮 名 称 。cassandra: tag 中 的 标签 指定 版 
本 号 。 标 签名 称 可 以 参考 官方 仓库 的 标签 说 明 : 
https://hub.docker.com/r/library/cassandra/tags/ ° 


之 后 用 户 可 以 将 另 一 个 容器 中 的 应 用 与 Cassandra 容 器 连接 起 来 。 
此 应 用 容器 要 骏 露 Cassandra 需 要 使 用 的 端口 《Cassandra 默 认 服 务 端 口 
Jjrpc port: 9160; CQL 默 认 本 地 服务 端口 为 native_transport_port: 
9042) ， 这 样 就 可 以 通过 容 絮 link 功 能 来 连接 Cassandra 容 器 与 应 用 容 


HE 


$ docker run --name my-app --link my-cassandra:cassandra -d app-that-uses- 
cassandra 


2 48 f& Cassandra f£ fit 


Cassandra 有 两 种 集群 模式 : 单机 模式 (所 有 实例 集中 于 一 人 台 机 
器 ) 和 多 机 模式 (实例 分 布 于 多 台 机 器 ) 。 单 机 模式 下 ， 可 以 按照 上 
面 描述 的 方法 启动 容器 即 可 。 如 果 需 要 启动 更 多 实例 ， 则 需要 在 指令 
中 配置 首 个 实例 信息 : 


$ docker run --name my-cassandra2 -d -e CASSANDRA SEEDS-"$(docker inspect -- 
format='{{ .NetworkSettings.IPAddress }}' my-cassandra)" cassandra:latest 


其 中 my-cassandra 就 是 首 个 Cassandra Server 的 实例 名 称 。 在 这 里 使 
用 了 docker inspect 指 令 ， 以 获取 首 个 实例 的 IP 地 址 信息 。 还 可 以 使 用 
docker run 的 --link 标 签 来 连接 这 两 个 Cassandra 实 例 : 


$ docker run --name my-cassandra2 -d --link my-cassandra:cassandra 
cassandra:latest 


多 机 模式 下 ， 由 于 容器 网 络 基于 Docker bridge， 所 以 需要 通过 环境 
变量 配置 Cassandra Server 容 器 的 了 广播 地 址 “即使 用 -e 标 签 ) 。 假 设 第 
一 台 虚 拟 机 的 卫 是 10.22.22.22， 第 二 人 台 虚 拟 机 的 卫 是 10.23.23.23， 
Gossip 端 口 是 7000， 那 么 局 动 第 一 台 虚 拟 机 中 的 Cassandra 容 髓 时 的 指 
AW P: 


$ docker run --name my-cassandra -d -e CASSANDRA BROADCAST ADDRESS-10.42.42.42 
-p 7000:7000 cassandra:latest 


启动 第 二 台 虚 拟 机 的 Cassandra 容 器 时 ， 同 样 需要 暴露 Gossip 端 
口 ， 并 通过 环境 变量 声明 第 一 台 Cassandra 容 絮 的 IP 地 址 : 


$ docker run --name my-cassandra -d -e CASSANDRA BROADCAST ADDRESS-10.43.43.43 
-p 7000:7000 -e CASSANDRA SEEDS-10.42.42.42 cassandra:latest 


12.7 ”本章 小 结 


本 革 讲 解 了 常见 数据 库 软件 镜像 的 使 用 过 程 ， 包 括 MySQL ` 
Oracle ` MongoDB、Redis、Memcached、CouchDB、Cassandra 等 。 读 
者 通过 本 章 内 容 ， 能 快速 掌握 如 何在 生产 环境 中 部 署 和 使 用 数据 库容 


在 使 用 数据 库容 絮 时 ， 建 议 将 数据 库 文件 映 冉 到 宿主 主机 ， 一 方 
面 减 少 容器 文件 系统 带 来 的 性 能 损耗 ， 男 一 方面 实现 数据 的 持久 化 。 


阅读 本 章 需 要 对 特定 的 数据 库 的 特性 和 配置 有 一 定 的 基础 知识 ， 
建议 读者 结合 各 个 数据 库 的 使 用 文档 进行 更 深入 的 学 习 。 


第 13 章 “分布 式 处 理 与 大 数据 平台 
分 布 式 系统 和 大 数据 处 理 平台 是 目前 业界 关注 的 热门 技术 。 


本 章 将 重点 介绍 热门 的 消 轧 队列 中 间 件 RabbitMQ， 分 布 式 任务 处 
理 平台 Celery， 大 数据 分 布 式 处 理 的 三 大 重量 级 武器 : Hadoop ^ 
Spark、Stormn， 以 及 新 一 代 的 数据 采集 和 分 析 引 擎 Elasticsearch 。 


围绕 如 何 基于 Docker 快 速 部 署 和 使 用 这 些 工 具 ， 读 者 将 能 学 习 到 
相关 的 操作 实践 ， 并 能 领略 分 布 式 处 理 技术 在 大 数据 领域 的 重要 用 


13.1  RabbitMQ 


RabbitMQzé— ^ x f$ Advanced Message Queuing Protocol 
(AMQP) 的 开源 消息 队列 实现 ， 由 Erlang 编 写 ， 因 以 高 性 能 、 高 可 用 
以 及 可 伸缩 性 出 名 。 它 文 持 多 种 客户 端 ， 如 : Java ` Python ` 
PHP、.NET、Ruby、JavaScript 等 。 它 主要 用 于 在 分 布 式 系统 中 存储 和 
转发 消息 ， 方 便 组 件 之 间 的 解 大 ， 消 息 的 发 送 者 无 需 知 道 消息 使 用 者 
的 存在 ， 反 之 亦 然 。 


i:hhaobitMO. 


AMQP 架 构 中 有 两 个 主要 组 件 : Exchange 和 Queue， 两 者 都 在 服务 
JN. x WBroker, HRabbitMQ ELAY o 7 P yg 4$ A Producer 
Consumer 两 种 类 型 ， 如 图 13-1 所 示 。 


在 使 用 RabbitMQ 过 程 中 需要 注意 的 是 ， 它 将 数据 存储 在 Node 中 ， 
默认 情况 为 hostname。 因 此 在 使 用 docker run 指 令 运行 容器 的 时 候 ， 应 
该 通过 -h/--hostname 参 数 指定 每 一 个 rabbitmq daemon 运 行 的 主机 名 。 这 
样 就 可 以 轻松 地 管理 和 维护 数据 了 : 


$ docker run -d --hostname my-rabbit --name some-rabbit rabbitmg:3 
3f28f62906e05375363ee661151170d37fbc89ada004c3235f02997b711b4cb2b 


Produce ; Exchanges Queues , Consume 


I 
IRs (a.k.a. Broker) 客户 端 
| 


T 
ai 


图 13-1 AMQP 架 构 


用 户 使 用 rabbitmqctl 工 具 进 行 远程 管理 ， 或 跨 容器 管理 的 时 候 ， 会 
需要 设置 持久 化 的 cookie。 如 果 需 要 了 解 天 于 Erlang Cookie 的 信息 ， 可 
以 参见 RabbitMQ 官 网 的 集群 指南 。 


这 里 可 以 使 用 RABBITMQ_ERLANG_COOKIE 参 数 进行 设置 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ ERLANG . 
COOKIE-'secret cookie here' rabbitmg:3 


使 用 cookie 连 接 至 一 个 独立 的 实例 : 


$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMQ ERLANG COOKIE- 
'secret cookie here' rabbitmq:3 bash 

rootQf2a2d3d27c75:/45 rabbitmqctl -n rabbitQmy-rabbit list users 

Listing users ... 

guest [administrator] 


同样 ， 用 户 也 可 以 使 用 RABBITMQ_NODENAME 简 化 指令 : 


$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMQ ERLANG COOKIE- 
'secret cookie here' -e RABBITMQ NODENAME-rabbitQmy-rabbit rabbitmq:3 bash 

rootQf2a2d3d27c75:/48 rabbitmqctl list users 

Listing users ... 

guest [administrator] 


默认 情况 下 ，rabbitmq 会 安 闭 并 局 动 一 些 管控 插件 ， 如 rabbitmd: 
3-management。 通 种 可 以 通过 默认 用 户 名 密码 以 及 标准 管控 端口 15672 
访问 这 些 插件 : 


$ docker run -d --hostname my-rabbit --name some-rabbit rabbitmq:3-management 


用 户 可 以 通过 浏览 器 访问 http://container-ip:15672， 如 果 需 要 从 宿 
主机 外 访问 ， 则 使 用 8080 端 口 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -p 8080:15672 rabbitmg: 
3-management 


如 果 需 要 修改 默认 用 户 名 与 密码 (guest guest) ， 则 可 以 使 用 
RABBITMQ_DEFAULT_USER 和 RABBITMQ_DEFAULT_ PASS 环境 变 


E 


HH: 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ DEFAULT . 
USER-user -e RABBITMQ DEFAULT PASS-password rabbitmq:3-management 


如 果 需 要 修改 默认 vhost， 可 以 修改 
RABBITMQ DEFAULT _VHOST 环 境 变量 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ DEFAULT _- 
VHOST-2my vhost rabbitmq:3-management 


然后 连接 至 daemon: 


$ docker run --name some-app --link some-rabbit:rabbit -d application-that-uses- 
rabbitmq 


用 户 也 可 以 访问 官方 镜像 仓库 ， 并 对 Dockerfile 进 行 更 多 定制 。 


13.2 Celery 


除了 通用 的 消息 队列 外 ， 任 务 队列 在 分 布 式 处 理 中 也 十 分 重要 。 
任务 队列 的 输入 是 工作 的 一 个 单元 ， 称 为 任务 ， 有 多 个 工作 者 监听 队 
列 来 获取 任务 并 执行 。 


C: Celery 


Celery 是 一 个 简单 、 灵 活 、 高 可 用 、 高 性 能 的 开源 (BSD 许 可 ) 分 
布 式 任务 处 理 系统 ， 专 注 于 实时 处 理 的 任务 队列 管理 ， 同 时 也 支持 任 
务 调 度 。Celery 基 于 Python 实现 ， 跟 包括 Django、Pyramid、Pylons、 
Flask、Tornado 等 Web 框 架 都 无 颖 集成 ， 有 庞大 的 用 户 与 贡献 者 社区 。 
Celery 可 以 单机 运行 ， 也 可 以 在 多 台 机 侣 上 运行 ， 其 至 可 以 跨越 数据 中 


心 运行 。 


1. 使 用 官方 镜像 


局 动 一 个 celery worker， 即 RabbitMQ Broker: 


$ docker run --link some-rabbit:rabbit --name some-celery -d celery:latest 


检查 集群 状态 : 


$ docker run --link some-rabbit:rabbit --rm celery celery status 


局 动 一 个 celery worker， 即 Redis Broker: 


$ docker run --link some-redis:redis -e CELERY BROKER URL=redis://redis --name 
some-celery -d celery 


$ docker run --link some-redis:redis -e CELERY BROKER URL-redis://redis --rm 
celery celery status 


2. 使 用 Celery 库 
如 果 用 户 使 用 的 框架 已 有 Celery 库 ， 那 么 使 用 起 来 会 更 方便 。 


下 面 是 Python 中 调用 Celery 的 hello world 程 序 : 


from celery import Celery 
app = Celery('hello', broker-z'amqp://guestQlocalhost//') 
Qapp.task 
def hello(): 
return 'hello world' 


13.3 Hadoop 


作为 当今 大 数据 处 理 领域 的 经 典 分 布 式 平台 ，Apache Hadoop 主 要 
基于 Java 语 言 实现 ， 由 三 个 核心 子 系统 组 成 : HDFS^ YARN ^ 
MapReduce， 其 中 ，HDFS 是 一 套 分 布 式 文 件 系统 ，YARN 是 资源 管理 
系统 ，MapReduce 是 运行 在 YARN 上 的 应 用 ， 负 责 分 布 式 处 理 管理 。 如 
果 从 操作 系统 的 角度 看 ，HDFS 相 当 于 Linux 的 ext3/ext4 文 件 系 统 ， 而 
Yarmn 相 当 于 Linux 的 进程 调度 和 内 存 分 配 模 块 。 参 见 图 13-2。 
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图 13-2 Apache Hadoop 生 态 系统 


1. 使 用 官方 镜像 


可 以 通过 docker run 指 令 运 行 镜 像 ， 同 时 打开 bash 命 令 行 ， 如 下 所 


Z: 


$ docker run -it sequenceiq/hadoop-docker:2.7.0 /etc/bootstrap.sh -bash 
bash-4.1# 


此 时 可 以 查看 各 种 配置 信息 和 执行 操作 ， 例 如 查看 namenode 日 志 


bash-4.1# cat /usr/local/hadoop/logs/hadoop-root-namenode-d4eie9d8f24f.out 
ulimit -a for user root 

core file size (blocks, -c) 0 

data seg size (kbytes, -d) unlimited 

scheduling priority (-e) 0 


file size (blocks, -f) unlimited 
pending signals (-i) 7758 

max locked memory (kbytes, -1) 64 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 

pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real-time priority (-r) O 

stack size (kbytes, -s) 8192 


cpu time 
max user 


(seconds, -t) unlimited 
processes (-u) unlimited 


virtual memory (kbytes, -v) unlimited 
file locks (-x) unlimited 


安装 验证 


需要 验证 Hadoop 环 境 是 否 安 装 成 功 。 打 开 容 器 的 bash 命 令 行 环 
iZ, EA Hadoop H K: 


bash-4.1# cd $HADOOP_PREFIXbash-4.1# pwd/usr/local/hadoop 


然后 通过 运行 Hadoop 内 置 的 实例 程序 来 进行 测试 : 


bash-4.1# bin/hadoop jar share/hadoop/mapreduce/hadoop-mapreduce-examples- 


2.7.0.jar 


grep 
16/08/31 


/0.0.0.0: 


16/08/31 
16/08/31 


input output 'dfs[a-z.]-*' 
10:00:11 INFO client.RMProxy: Connecting to ResourceManager at 
8032 


10:00:15 INFO input.FileInputFormat: Total input paths to process : 31 


10:00:16 INFO mapreduce.JobSubmitter: number of splits:31 


最 后 可 以 使 用 hdfs 指 令 检 查 输出 结 


bash-4.1# bin/hdfs dfs -cat output/* 


13.4 Spark 


Apache Spark 是 一 个 围绕 速度 、 易 用 性 和 复杂 分 析 构 建 的 大 数据 处 
理 框 架 ， 基 于 Scala 开 发 。 最 初 在 2009 年 由 加 州 大 学 伯克利 分 校 的 
AMPLab 开 发 ， 并 于 2010 年 成 为 Apache 的 开源 项 目 之 一 。 


Spa 


与 Hadoop 和 Storm 等 其 他 大 数据 和 MapReduce 技 术 相 比 ，Spark 文 持 
更 灵活 的 函数 定义 ， 可 以 将 应 用 处 理 速 度 提升 一 到 两 个 数量 级 ， 并 且 
提供 了 众多 方便 的 实用 工具 ， 包 括 SQL 查 询 、 流 处 理 、 机 器 学 习 和 图 
处 理 等 : 


Spark 体 系 架 构 包 括 如 下 三 个 主要 组 件 : 数据 存储 、API、 管 理 框 
架 ， 如 图 13-3 所 示 。 
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图 13-3 Spark 体系 架构 
目前 Spark 推 出 了 2.0 版 本 ， 人 性 能 大 幅度 提升 ， 并 在 数据 流 方面 退 推 
出 了 很 多 新 功能 。 
13.4.1 使 用 官方 镜像 


用 户 可 以 使 用 sequenceiq/spark 镜 像 ， 版 本 方面 支持 Hadoop 2.6.0, 
Apache Spark v1.6.0 (CentOS) 。 同 时 此 镜像 还 包含 Dockerfile， 用 户 可 


以 基于 它 构建 目 定 义 的 Apache Spark 镜 像 。 


用 户 使 用 docker pull 指 令 直 接 获 取 镜 像 : 


$ docker pull sequenceiq/spark:1.6.0 
1.6.0: Pulling from sequenceiq/spark 


9d406b080497: Pull complete 
Digest: sha256:64fbdd1a9ffb6076362359c3895d089afc65a533c0ef021ad4ae6da3f8b2a413 
Status: Downloaded newer image for sequenceiq/spark:1.6.0 


也 可 以 使 用 docker build 指 令 构 建 spark 镜 像 : 


$ docker build --rm -t sequenceig/spark:1.6.0 . 


另外， 用 户 在 运行 容器 时 ， 需 要 映射 YARN UI 需 要 的 端口 : 


$ docker run -it -p 8088:8088 -p 8042:8042 -h sandbox sequenceiq/spark:1.6.0 bash 
bash-4.1£ 


局 动 后 ， 可 以 使 用 bash 命 令 行 来 查看 namenode 日 志 等 信息 : 


bash-4.14 cat /usr/local/hadoop/logs/hadoop-root-namenode-sandbox.out 
ulimit -a for user root 


core file size (blocks, -c) 0 

data seg size (kbytes, -d) unlimited 
scheduling priority (-e) © 

file size (blocks, -f) unlimited 
pending signals (-i) 7758 

max locked memory (kbytes, -1) 64 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 
pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real-time priority (-r) © 

stack size (kbytes, -s) 8192 

cpu time (seconds, -t) unlimited 
max user processes (-u) unlimited 
virtual memory (kbytes, -v) unlimited 


file locks (-x) unlimited 


13.4.2 验证 


基于 YARN 部 署 Spark 系 统 时 ， 用 户 有 两 种 部 署 方式 可 选 : YARN 客 
户 端 模 式 和 YARN 集 群 模式 。 下 面 分 别论 述 两 种 部 署 方式 。 


1.YARN 客 户 端 模式 


在 YARN 客 户 端 模式 中 ，SparkContext (或 称 为 驱动 程序 ，driver 
program) 运行 在 客户 端 进程 中 ， 应 用 的 master 仅 处 理 来 目 YARN 的 资源 
管理 请 求 : 


# 运行 spark shell 

spark-shell N 

--master yarn-client \ 

--driver-memory 1g \ 

oor nnny 2? b 
-executor-cores 

# 执行 以 下 指令 ， 名 泊 闸 1606 则 符合 预期 

scala» sc.parallelize(1 to 1000).count() 


2.YARN 集 群 模式 


在 YARN 集 群 模式 中 ，Spark driver 驱 动 程序 运行 于 应 用 master 的 进 
程 中 ， 即 由 YARN 从 集群 层面 进行 管理 。 下 面 ， 用 户 以 Pi 值 计算 为 例 
子 ， 展 现 两 种 模式 的 区 别 : 


Pi 计算 (YARN 集 群 模式 ) : 


# 执行 以 下 指令 ， 成 功 后 ,日 志 中 会 新 增 记录 "Pi is roughly 3.1418" 
# 集群 模式 下 用 户 必须 制定 - -files 参 数 ， 以 开启 metrics 
spark-submit \ 

--class org.apache.spark.examples.SparkPi \ 


--files $SPARK HOME/conf/metrics.properties \ 
--master yarn-cluster \ 

--driver-memory 1g \ 

--executor-memory 1g \ 

--executor-cores 1 \ 

$SPARK HOME/lib/spark-examples-1.6.0-hadoop2.6.0.jar 


Pi 计算 (YARN 客 户 端 模式 ) : 


# 执行 以 下 指令 ， 成 功 后 ， 命 令 行 将 显示 "Pi is roughly 3.1418" 
spark-submit \ 

--class org.apache.spark.examples.SparkPi \ 

--master yarn-client \ 

--driver-memory 1g \ 

--executor-memory 1g \ 

--executor-cores 1 \ 

$SPARK HOME/lib/spark-examples-1.6.0-hadoop2.6.0.jar 


3. 容 器 外 访问 Spark 


如 果 需 要 从 容器 外 访问 Spark 环 境 ， 则 需要 设置 YARN_CONF_DIR 
环境 变量 。yarmn-remote-client 文 件 夹 内 置 远程 访问 的 配置 信息 : 


export YARN_CONF_DIR=" pwd /yarn-remote-client" 


只 能 使 用 根 用 户 访问 Docker 的 HDFS 环 境 。 当 用 户 从 容器 集群 外 
部 ， 使 用 非 根 用 户 访 问 Spark 环 境 时 ， 则 需要 配置 
HADOOP USER _NAME 环 境 变 量 : 


export HADOOP_USER_NAME=root 


13.5 Storm 


Apache Storm 是 一 个 实时 流 计算 框架 ， 由 Twitter 在 2014 年 正式 开 


源 ， 尊 人 循 Eclipse Public License 1.0。Storm 基 于 Clojure 等 语言 实现 。 


Z> STORM 


Storm 集 群 与 Hadoop 集 群 在 工作 方式 上 十 分 相似 ， 唯 一 区 别 在 于 
Hadoop 上 运行 的 是 MapReduce 任 务 ， 在 Storm 上 运行 的 则 是 topology。 
MapReduce 任 务 完成 处 理 即 会 结束 ， 而 topology 则 永远 在 等 待 消息 并 处 
H (直到 被 停止 )。 


使 用 Compose 搭 建 Storm 集 群 


利用 Docker Compose 模 板 ， 用 户 可 以 在 本 地 单机 Docker 环 境 快速 
地 搭建 一 个 Apache Storm 集 群 ， 进 行 应 用 开发 测试 。 


1.Stormzr [f| Z& 5] 


Storm 架 构 如 图 13-4 所 示 。 


Storm UI Topology 部 署 


+ Is 
Zookeeper 


eee 


Zookeeper 


Worker 
Ec 


Launches workers 工作 进程 


Supervisor 


ES Supervisor 
Master Node 集群 调度 


图 13-4 Storm 示例 架构 


中 包含 如 下 容器 : 


NI 


Zookeeper: Apache Zookeeper 三 斑点 部 署 。 
:Nimbus: Storm Nimbus ? 
:'Ui: Storm UI 


Supervisor: Storm Supervisor (一 个 或 多 个 ) 。 


"Topology: Topology 部 署 工 具 ， 其 中 示例 应 用 基于 官方 示例 storm- 
starter 代 码 构建 。 


2. 本 地 开发 测试 


首先 从 Github 下 载 需 要 的 代码 : 


$ git clone https://github.com/denverdino/docker-storm.git 
$ cd docker-swarm/local 


AREE rn B docker-compose.yml MAF iii f B&BS Storm Ri 2RT5 » 


用 户 可 以 直接 运行 下 列 命令 构建 测试 镜像 : 


$ docker-compose build 


现在 可 以 用 下 面 的 命令 来 一 键 部 署 一 个 Storm 应 用 : 


$ docker-compose up -d 


当 UI 容 姻 局 动 后 ， 用 户 可 以 访问 容 絮 的 8080 病 口 来 打开 操作 办 
面 ， 如 图 13-5 所 示 。 


[3 192.168.99.100:8080/index.htm! 
Storm UI 
Cluster Summary 


Status 
Offline 
Leader 


Showing 1 to 2 of 2 entries 


Topology Summary 


[Name ^ Owner ¢ Status è Uptime ¢ Num workers ¢ Numexecutors ¢ Num tasks ! Repücationcount ¢ Assigned Mem (MB) ¢ Schedulerinfo ¢ 


Showing 0 to 0 of 0 entries 


图 13-5 Storm UI 
利用 如 下 命令 ， 可 以 伸缩 supervisor 的 数量 ， 比 如 伸缩 到 3 个 实例 : 


$ docker-compose scale supervisor-3 


用 户 也 许 会 发 现 Web 界 面 中 并 没有 运行 中 的 topology。 这 是 因为 
Docker Compose 目 前 只 能 保证 容器 的 局 动 顺 序 ， 但 是 无 法 确保 所 依赖 
容器 中 的 应 用 已 经 完全 局 动 并 可 以 被 正常 访问 了 。 


为 了 解决 这 个 问题 ， 需 要 运行 下 面 的 命令 来 再 次 局 动 ttpolgoy 服 务 
应 用 来 所 区 更 新 的 拓扑 : 


$ docker-compose start topology 


稍 后 刷新 Storm UI， 可 以 发 现 Storm 应 用 已 经 部 署 成 功 了 。 


13.6 Elasticsearch 


Elasticsearch 是 一 个 基于 Lucene 的 开源 搜索 服务 器 ， 主 要 基于 Java 
实现 。 它 提供 了 一 个 分 布 式 鸭 ， 多 租户 的 全 文 搜索 引擎 ， 内 售 RESTful 


web 接 口 。 


eo elasticsearch. 


Elasticsearch 提 供 了 实时 的 分 布 式 数据 存储 和 分 析 碍 询 功能 ， 很 容 
易 扩 展 到 上 百 台 服务 器 ， 支 持 处 理 PB 级 结构 化 或 非 结 构 化 数据 。 配 合 
Logstash、Kibana 等 组 件 ， 可 以 快速 构建 一 套 对 日 志 消 息 的 分 析 平 台 。 


FZ Hh 


可 以 使 用 官方 镜像 ， 快 速 运行 Elasticsearch 容 怖 : 


$ docker run -d elasticsearch 
937c1cb21b39a322ab6c5697e31af22a5329f08408d40f64e27465fed6597e34 


也 可 以 在 局 动 时 传 入 一 些 人 额外 的 配置 参数 : 


$ docker run -d elasticsearch elasticsearch -Des.node.name="TestNode" 
2c0ae96f73ca01779c60f7c6103481696c34c510266f5c503610a2640dc6f50a 


目前 使 用 的 镜像 内 含 默认 配置 文件 ， 包 售 了 预 匈 定义 好 的 默认 配 
置 。 如 果 用 户 要 使 用 目 定义 配置 ， 可 以 使 用 数据 卷 ， 挂 载 目 定义 配置 
文件 至 /usr/share/elasticsearch/config: 


$ docker run -d -v "$PWD/config":/usr/share/elasticsearch/config elasticsearch 
43333bfdbbfe156512ba9786577ca807c676f9a767353222c106453020ac7020 


如 采 需 要 数据 持久 化 ， 可 以 使 用 数据 卷 指令 ， 挂 载 


Z&/usr/share/elasticsearch/data: 


$ docker run -d -v "$PWD/esdata":/usr/share/elasticsearch/data elasticsearch 
3feddf6a8454534b209b32df06c2d65022d772a8f511593371218f6bd064e80e 


VUES 22589200 9300 两 个 默认 的 HTTP 端口 ， 可 以 通过 此 端口 进 
行 服务 访问 。9200 端 口 是 对 外 提供 服务 的 API 使 用 的 端口 。9300 端 口 是 
内 部 通信 端口 ， 这 些 通信 和 包括 心跳 ， 集 群 内 部 信息 同步 。 


13.7 ”本章 小 结 


本 章 介 绍 了 分 布 式 处 理 与 大 数据 处 理 领域 的 典型 热门 工具 ， 包 括 
Rabbitmq ` Celery ` Hadoop、Spark、Storm 和 和 Elasticsearch 等 。 这 些 开 
源 项 目的 出 现 ， 极 大 降低 了 开发 者 进行 分 布 式 处 理 和 数据 分 析 的 门 


i 


实际 上 ， 摩 尔 定 律 的 失效 ， 必 将 导致 越 来 越 多 的 复杂 任务 必须 采 
用 分 布 式 染 构 进行 处 理 。 在 新 的 染 构 和 平台 下 ， 如 何 实现 高 性 能 、 高 
可 用 性 ， 如 何 让 应 用 容易 开发 、 方 便 调试 ， 痢 十 十 分 复杂 的 问题 。 已 
有 的 开源 平台 项 目 提供 了 很 好 的 实现 参考 ， 方 便 用 户 将 更 多 的 精力 放 
到 核心 业务 的 维护 上 。 通 过 基于 容 右 的 部 获 和 使 用 ， 极 大 简化 了 对 如 
此 复杂 系统 的 使 用 和 维护 。 


第 14 章 ”编程 开发 


本 章 主要 介绍 如 何 使 用 Docker 快 速 部 署 主 流 编 程 语言 的 开发 、 编 
译 环境 及 其 常用 框架 ， 包 括 C、C++、Java、Python ` JavaScript ^ Go ^ 


PHP ` Ruby ` Perl ` R ` Erlang® ° 


通过 本 章 学 习 ， 读 者 在 今后 采用 编程 语言 开发 和 测试 时 ， 将 再 也 
不 用 花费 大 量 时 间 进 行 环境 配置 了 ， 只 需 简 单 获取 容 右 镜像 ， 即 可 快 
速 拥 有 相关 的 环境 。 


本 革 内 容 需 要 读者 事先 对 相关 语言 的 基础 概念 和 工具 栈 有 所 了 
解 ， 可 目 行 查看 语言 相应 的 技术 文档 。 


14.1 C/C++ 


C 和 是 一 | 门 十 老 的 语言 ， 在 1969 年 由 贝尔 实验 室 设 计 开 发 ， 今 天 仍然 
征 系 统领 域 和 高 性 能 计算 的 主要 选择 。C 语 言 具 有 高 效 、 灵 活 、 功 能 
富 、 表 达 力 强 和 较 高 的 可 移植 性 等 特点 。 C++ 在 C 的 基础 上 ， 文 持 了 数 
据 的 抽象 与 封装 、 面 回 对 象 和 泛 型 编程 。 功 能 与 性 能 的 平衡 使 C++ 成 为 
了 目前 应 用 最 广泛 的 系统 编程 语言 之 一 。 


14.1.1 GCC 


—— 


GCC (GNU Compiler Collection) 是 一 套 由 GNU 开 发 的 编程 语言 编 
译 器 ， 是 一 套 以 GPL 及 LGPL 许 可 证 所 发 行 的 自由 软件 ， 也 是 GNU 计 划 
的 关键 部 分 。GCC (特别 是 其 中 的 C 语 言 编译 器 ) 通常 被 认为 是 跨 平台 
编译 器 的 事实 标准 。 


GCC 可 处 理 C/C++， 以 及 Fortran、Pascal ` Objective-C ` Java ` Ada 


等 多 种 语言 。 


将 C/C++ 代码 运行 在 容器 内 的 最 简 方法 ， 就 是 将 编译 指令 写 入 
Dockerfile 中 ， 然 后 使 用 此 Dockerfile 构 建 自 定 义 镜像 ， 最 后 直接 运行 此 
镜像 ， 即 可 启动 程序 。 


FROM gcc:4.9 
COPY . /usr/src/myapp 
WORKDIR /usr/src/myapp 
RUN gcc -o myapp main.c 
CMD ["./myapp"] 


编辑 main.c， 内 容 如 下 : 


#include<stdio.h> 
int main() 


printf("Hello World\n"); 
return 0; 


现在 ， 就 可 以 使 用 Dockerfile 来 构建 镜像 my-gcc-app: 


$ docker build -t gcc-image . 


创建 并 运行 此 容器 ， 会 编译 并 运行 程序 ， 输 出 Hello World 语 句 。 


$ docker run -it --rm --name gcc-container gcc-image 
Hello World 


如 采 只 需要 容器 编译 程序 ， 而 不 需要 运行 它 ， 可 以 使 用 如 下 命 


d 


$ docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp gcc gcc -o myapp 
main.c 


以 上 命令 会 将 当前 目录 ("$(pwd)") 挂 载 到 容器 的 /usr/src/myapp 目 
录 ， 并 执行 gcc-o myapp myapp.c。GCC 将 会 编译 myapp.c 代 码 ， 并 将 生 
成 的 可 执行 文件 输出 至 /usr/src/myapp 文 件 来。 


14.1.2 LLVM 


LLVM (Low Level Virtual Machine) 是 伊利 诺 伊 大 学 的 一 个 研究 项 
目 ， 试 图 提供 一 个 现代 化 的 ， 基 于 SSA 的 编译 策略 ， 同 时 支持 静态 和 功 


态 编程 语言 。 和 之 前 为 大 家 所 熟知 的 JVM 以 及 .net Runtime 这 样 的 虚拟 
机 不 同 ， 这 个 虚拟 系统 提供 了 一 套 中 立 的 中 间 代 码 和 编译 基础 设施 ， 
并 围绕 这 些 设施 提供 了 一 套 全 新 的 编译 策略 (使 得 优化 能 够 在 编译 、 
连接 、 运 行 环境 执行 过 程 中 ， 以 及 安装 之 后 以 有 效 的 方式 进行 ， 和 其 
他 一 些 非 常 有 意思 的 功能 。 
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Docker Hub 中 已 经 有 用 户 提供 了 LLVM 镜 像 ， 读 者 可 以 直接 下 载 使 
H, DAAH o 


$ docker pull imiell/llvm 


14.1.3 Clang 


Clang 是 一 个 由 Apple 公 司 用 C++ 实现 、 基 于 LLVM 的 
C/C++/Objective C/Objective C++ 编译 器 ， 其 目标 就 是 超越 GCC 成 为 标 
准 的 C/C++ 编 译 器 ， 它 遵循 LLVM BSD 许 可 。Clang 很 好 地 兼容 了 


GCC 。 
Clang 特 性 包括 : 
快 ， 在 OSX 上 的 测试 中 ，Clang 比 GCC 4.0 快 2.5 倍 。 


:内 存 占用 小 :Clang 内 存 占用 一 般 比 GCC 要 小 的 多 。 


诊断 信息 可 读 性 强 ，Clang 对 于 错误 的 语法 不 但 有 源码 提示 ， 还 会 
在 错误 的 调用 和 相关 上 下 文 上 有 更 好 的 提示 。 


-基于 库 的 模块 化 设计 : Clang 将 编译 过 程 分 成 彼此 分 离 的 几 个 阶 
段 ， 将 大 大 增强 IDE 对 于 代码 的 操控 能 


在 Docker Hub 中 已 经 有 用 户 提 供 了 Clang 的 镜像 ， 访 者 可 以 直接 下 
载 使 用 : 


$ docker pull bowery/clang 


14.2 Java 


Java 是 一 种 拥有 跨 平 台 、 面 向 对 象 、 泛 型 编程 特点 的 编译 型 语 
， 广 泛 应 用 于 企业 级 应 用 开发 和 移动 应 用 开发 领域 ， 由 SUN 公 司 在 
1995 年 推出 。Java 是 基于 类 的 面向 对 象 的 高 级 语言 ， 其 设计 理念 是 尽 
可 能 的 减少 部 署 依赖 ， 致 力 于 “开发 一 次 ， 到 处 运行 *。 这 就 意味 着 
Java 的 二 进 制 编码 不 需要 再 次 编译 ， 即 可 运行 在 异 构 的 JVM 上。Java 
在 大 型 互联 网 项 目 ， 特 别 是 互联 网 金融 和 电子 商务 项 目 中 非常 受 欢 
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在 容 右 中 运行 Java 代 码 最 简单 的 方法 就 是 将 Java 编 译 指令 直接 写 
入 Dockerfile。 然 后 使 用 此 Dockerfile 构 建 并 运行 此 镜像 ， 即 可 启动 程 
序 o 


在 本 地 新 建 一 个 空 日 录 ， 在 其 中 创建 Dockerfile 文 件 。 在 
Dockerfile 中 ， 加 入 需要 执行 的 Java 编 译 命 令 ， 例 如 : 


FROM java:7 

COPY . /usr/src/javaapp 
WORKDIR /usr/src/javaapp 
RUN javac HelloWorld.java 
CMD ["java", "HelloWorld"] 


使 用 此 Dockerfile 构 建 镜像 java-image: 
$ docker build -t java-image . 
然后 ， 运 行 此 镜像 即 目 动 编译 程序 并 执行 : 


$ docker run -it --rm --name java-container java-image 
Hello, World 


如 果 只 需要 在 容器 中 编译 Java 程 序 ， 而 不 需要 运行 ， 则 可 以 使 用 


$ docker run --rm -v "$(pwd)":/usr/src/javaapp -w /usr/src/javaapp java:7 javac 
Helloworld.java 


14.3 Python 


Python 是 一 种 解释 型 的 动态 语言 ， 面 向 对 象 设 计 ， 功 能 十 分 强大 。 
它 集 成 了 模块 (modules) 、 异 常 处 理 (exceptions) 、 动 态 类 型 
(dynamic typing) 、 高 级 数据 结构 (元 组 、 列 表 、 序 列 ) 、 类 
(classes) 等 高 级 特性 。Python 设 计 精 良 ， 语 法 简约 ， 表 达能 力 很 强 。 
目前 ， 所 有 主流 操作 系统 (Windows、 所 有 Linux、 类 Unix 系 统 ) 都 支 
持 Python ° 


下 面 ， 笔 者 将 带领 大 家 使 用 Docker 部 署 Python 环境 ， 以 及 部 署 
Python 技术 栈 中 的 主流 框架 。 


14.3.1 使 用 官方 的 Python 镜像 


推荐 用 户 使 用 Docker 家 方 提供 的 Python 镜像 作为 基础 镜像 。 


首先 ， 新 建 项 目 目录 py-official， 进 入 此 目录 ， 新 建 一 个 Dockerfile 
XF, WEU TF: 


FROM python:3-onbuild 
CMD [ "python3.5", "./py3-sample.py" ] 


新 建 py3-sample.py 文 件 ， 计 算 Fibonacci 数 列 : 


def fib(n): 
a, b= 0, 1 
while a < n: 
print(a, end=' ') 
a, b = b, a+b 
print() 
fib(1000) 
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程序 ， 如 Django 等 。 此 处 仅 新 建 空 文件 。 


$ touch requirements.txt 

第 二 步 ， 使 用 docker build 命 令 构建 名 为 py2.7-sample-app 的 镜像 : 
$ docker build -t py3-image . 

第 三 步 ， 通 过 docker run 命 令 创 建 并 运行 容器 : 


$ docker run -it --rm --name py3-container py3-image 
0112358 13 21 34 55 89 144 233 377 610 987 


如 采 读 者 只 需要 运行 单个 Python 脚本 ， 那 么 无 需 使 用 Dockerfile 构 
建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Python 镜像 ， 认 参数 运 


$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp python:3 python your-daemon-or-script.py 


14.3. fi FHPyPy 


PyPy 是 一 个 Python 实现 的 Python 解释 器 和 即时 编译 (JIT) 工具 
它 专注 与 速度 、 效 率 ， 以 及 和 CPython 完 全 的 兼容 性 。PyPy 通 过 JIT 技 
术 可 以 使 得 Python 运行 速度 提高 近 十 倍 ， 同 时 保证 兼容 性 


首先 ， 设 置 项 目 目 永 ， 并 新 建 hi.py 实 例 程 序 : 


for animal in ["dog", "cat", "mouse"]: 
print "%s is a mammal" % animal 


然后 ， 在 根 目 录 新 建 Dockerfile， 基 于 pypy3 的 onbuild 版 本 镜像 : 


FROM pypy:3-onbuild 
CMD [ "pypy3", "./hi.py" ] 


如 果 用 户 需 要 使 用 pypy2， 则 可 以 使 用 : FROM pypy:2-onbuild ° 


onbuild 版 本 的 镜像 内 含 若干 onbuild 触 发 器 ， 它 们 可 以 再 镜像 构建 
期 间 完成 一 些 必要 的 初始 化 操作 ， 便 于 项 目的 直接 运行 。pypy 的 
onbuild 镜 像 会 拷贝 一 个 requirements.txt 依 赖 文件 ， 运 行 RUN pip install 
安装 依赖 程序 ， 然 后 将 当前 目录 拷贝 至 usrsrc/app。 


下 面 ， 用 户 开始 构建 和 运行 此 镜像 : 


$ docker build -t my-python-app . 
$ docker run -it --rm --name my-running-app my-python-app 
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那么 用 户 可 以 直接 使 用 以 下 指令 : 


$ docker run -it --rm --name my-running-script -v "$PWD":/usr/src/myapp -w 
/usr/src/myapp pypy:3 pypy3 your-daemon-or-script.py 


如 采 需 要 使 用 pypy2 运 行 ， 则 可 以 使 用 如 下 指令 : 


$ docker run -it --rm --name my-running-script -v "$PWD":/usr/src/myapp -w 
/usr/src/myapp pypy:2 pypy your-daemon-or-script.py 


14.4 JavaScript 


JavaScript 是 目前 所 有 主流 浏 贤 器 上 唯一 文 持 的 脚本 语言 ， 这 也 是 
早期 JavaScript 的 唯一 用 途 。Node.js 的 出 现 ， 计 服务 端 应 用 也 可 以 基于 


JavaScript 进 行 编写 。 


Node.js 自 2009 年 发 布 ， 使 用 Google Chromed) 5,288] V85|SE, XH 
事件 驱动 ， 性 能 优异 。 同 时 还 提供 了 很 多 系统 级 API， 如 文件 操作 、 网 
络 编 程 等 。 


下 面 ， 笔 者 将 简 述 如 何 使 用 Docker 搭 建 和 使 用 Node.js 环 境 。 


使 用 Node.js 环 境 


Node.js 拥 有 3 种 官方 镜像 : node: «version» ^ node: onbuild ` 


node: slim ° 


其 中 常用 的 是 高 有 版 本 标签 的 ， 以 及 党 有 onbuild 标 签 的 node 镜 
像 。 


首先 ， 在 Node.js 项 目 中 新 建 一 个 Dockerfile: 


FROM node:4-onbuild 
EXPOSE 8888 


然后 ， 新 建 serverjs 文 件 ， 内 容 如 下 : 


'use strict'; 

var connect = require('connect'); 

var serveStatic - require('serve-static'); 

var app = connect(); 

app.use('/', serveStatic('.', ('index': ['index.html']3)); 
app.listen(8080); 

console.log('MyApp is ready at http://localhost:8080'); 


之 后 ， 通 过 npm init 命 令 来 新 建 node 项 目 所 必须 的 package.json 文 
fr: 


$ npm init 
This utility will walk you through creating a package.json file. 


It only covers the most common items, and tries to guess sensible defaults. 
See ‘npm help json' for definitive documentation on these fields 
and exactly what they do. 

Use ^npm install «pkg» --save' afterwards to install a package and 
save it as a dependency in the package.json file. 

Press ^C at any time to quit. 

name: (node) node 

version: (1.0.0) 

description: node-sample 

entry point: (index.js) 

test command: 

git repository: 

keywords: 

author: 

license: (ISC) 

About to write to /Users/faxi/Docker/js/node/package. json: 


{ 


"name": "node", 
"version": "1.0.0", 
"description": "node-sample", 
"main": "index.js", 
"scripts": ( 
"test": "echo N'Error: no test specified\" && exit 1" 
3 
"author": s 
"license": "ISC" 


} 
Is this ok? (yes) yes 


下 面 使 用 docker build 指 令 构 建 node 镜 像 : 


$ docker build -t node-image . 


最 后 ， 创 建 并 运行 hode 容 器 : 


$ docker run -it -P node-image 

npm info it worked if it ends with ok 
npm info using npm@2.15.1 

npm info using nodeQv4.4.3 

npm info prestart nodeQ1.0.0 

npm info start nodeQ1.0.0 

» nodeQ1.0.0 start /usr/src/app 

» node server.js 

MyApp is ready at http://localhost :8080 
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$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

7b6f666d4808 node-image "npm start" xxxago Up xx 0.0.0.0:32771->8888/tcp 
node-container 


如 果 只 需要 运行 单个 node 脚 本 的 容器 ， 则 无 需 通 过 Dockerfile 构 建 
镜像 ， 可 以 使 用 以 下 指令 


$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp node:0.10 node your-daemon-or-script.js 


读者 也 可 以 参考 node 官 方 提供 的 最 佳 实践 : 


https://github.com/nodejs/docker-node/blob/master/docs/BestPractices.md ° 


14.5 Go 


Go 语言 (也 称 Golang) 是 一 个 由 Google 主 导 研 发 的 编程 语言 ， 于 
2009 年 推出 。 它 的 语法 清晰 明了 ， 设 计 精 良 ， 拥 有 一 些 先进 的 特性 ， 
还 有 一 个 庞大 的 标准 库 。Go 的 基本 设计 理念 是 : 编译 效率 、 运 行 效 率 
和 开发 效率 要 三 者 兼顾 。 使 用 Go 开发 ， 既 可 以 得 到 很 多 灵活 的 语法 文 
持 ， 又 可 以 拥有 C/C++ 的 运行 和 编译 效率 。 此 外 ，Go 提 供 了 轻 量 级 的 
协 程 ， 文 持 大 规模 并 发 的 场景 。 


营建 


i 


14.5.1 


1. 使 用 官方 镜像 


运行 Go 语言 环境 的 最 简 方法 是 使 用 官方 golang 镜 像 。 可 以 使 用 
docker run 指 令 直 接 启 动 Go 语言 的 交互 环境 : 


$ docker run -it golang /bin/bash 
root@79afc2b64b06:/go# go versiongo version go1.7 linux/amd64 


还 可 以 将 Go 编译 指令 写 入 Dockerfile 中 ， 基 于 此 Dockerfile 构 建 自 定 
义 镜 像 。 有 具体 步骤 如 下 。 


第 一 步 ， 痢 建 项 目 文件 夹 ， 并 在 根 目录 新 建 Dockerfile: 


FROM golang:1.6-onbuild # 显示 声明 基础 镜像 版 本 ， 利 于 后 期 维护 。 
onbuild 版 本 Dockerfile 的 具体 内 容 如 下 : 

FROM golang:1.6 

RUN mkdir -p /go/src/app 

WORKDIR /go/src/app 


CMD ["go-wrapper", "run"] # 通过 `go-wrapper ` 程 序 执行 当前 目录 下 的 主 函 数 
ONBUILD COPY . /go/src/app # 找 贝 当前 项 目 代码 至 运行 目录 
ONBUILD RUN go-wrapper download # 下 载 依赖 ， 具 体 实现 参考 `go-wrapper ` 源 码 


ONBUILD RUN go-wrapper install # 安装 依赖 ， 具 体 实现 参考 "go-wrapper ` 源 码 

# ^go-wrapper ` 源 码 地 址 : ^https://github.com/docker-library/golang/blob/master/go- 
wrapper ` 

# Dockerfile 源 码 地 址 : `https://github.com/docker-library/golang/blob/master/1.6/ 
onbuild/Dockerfile' 


第 二 步 ， 新 建 自 定义 go 程序 go-sample.go: 


package main 

import "fmt" 

func main() { 
fmt.Println("Hello, 世界 ") 

} 


第 三 步 ， 使 用 docker build 指 令 构建 镜像 : 


$ docker build -t golang-image . 


最 后 ， 使 用 docker run 指 令 运 行 Go 容器 : 


$ docker run -it --rm --name golang-container golang-image 
+ exec app 
Hello, 世界 


至 此 成 功 运行 了 Go 语言 的 实例 容器 。 如 果 需 要 在 容器 中 编译 Go 代 
码 ， 但 是 不 需要 在 容器 中 运行 它 ， 那 么 可 以 执行 如 下 命令 : 


$ docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp golang go build -v 
./usr/src/myapp 


这 会 将 Go 项 目 文件 夹 作 为 Docker 数 据 卷 挂 载 起 来 并 作为 运行 目 
录 。 然 后 ，Docker 会 在 工作 目录 中 编译 代码 ， 执 行 go build 命 令 并 输出 
可 执行 文件 至 myapp ° 


2.Go 项 目 容 器 化 
首先， 下载 Golang 官 方 提供 的 outyet 示 例 项 目 : 


mkdir outyet 

cd Outyet 

使 用 go get 下 载 : 

go get github.com/golang/example/outyet 
者 直接 使 用 wget FE: 


Bk, 
wget https://github.com/golang/example/archive/master.zip 
unzip master.zip 

cd example-master/outyet 

ls 

ockerfile containers.yaml main.go main test.go 
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示例 项 目 搭建 成 功 后 ， 可 以 按照 以 下 模板 去 自 定 义 项 目的 
Dockerfile: 


# 使 golang 基 础 镜像 ， 基于 Debian 系 统 ， 安 装 最 新 版 本 的 golang 环 境 。 工 作 空 间 (GOPATH) 
配置 是 ed 

FROM 

# MADEE 至 容器 工作 目录 。 


ADD . /go/src/github. com/golang/example/my- go 
# 在 容器 中 构建 my-go。 可 以 在 这 里 手动 或 者 自动 (godep) 管理 依赖 关系 。 
RUN go install github. com/golang/example/my- go 
# 设 定 容 器 自动 运行 ny-go。 
ENTRYPOINT /go/bin/my-go-app 

# 监听 8080 端 口 。 
8080 


如 采 使 用 onbuild 版 本 的 基础 镜像 ， 那 么 源 文件 拷贝 、 构 建 与 配置 
等 过 程 束 会 自动 完成 ， 无 需 在 Dockerfile 中 逐一 配置 ， 如 下 所 示 : 


FROM golang:onbuild 
EXPOSE 8080 


下 面 开 始 构 建 与 运行 此 Golang 项 目 。 在 outyet 项 目 根 目录 执行 
docker build 指 令 ， 使 用 本 地 目录 下 的 Dockerfile: 


$ docker build -t outyet . 


构建 过 程 中 ，Docker 会 从 Docker Hub 中 获取 golang 基 础 镜像 ， 找 贝 
本 地 包 文 件 ， 构 建 项 目 并 给 镜像 打上 outyet 标 签 。 下 面 ， 使 用 docker run 


指令 运行 此 镜像 : 


$ docker run -p 6060:8080 --name test --rm outyet 


此 时 ， 实 例 项 目的 容 右 已 经 在 运行 状态 。 打 开 浏 贤 器 访问 
http://localhost:6060/ 即 可 看 到 运行 界面 。 


14.5.2 Beego 


Beego 是 一 个 使 用 Go 的 思维 来 帮助 开发 者 构建 并 开发 Go 应 用 程序 
的 开源 框架 。Beego 使 用 Go 开发 ， 思 路 来 目 于 Tornado， 路 由 设计 来 源 
于 Sinatra。 使 用 方法 如 下 。 


BEEG OY 


第 一 步 ， 下 载 安装 : 
go get github.com/astaxie/beego 


第 二 步 ， 创 建文 件 hello.go: 


package main 
import "github.com/astaxie/beego" 
func main() { 

beego.Run() 


第 三 步 ， 编 译 运 行 : 


go build -o hello hello.go 
./hello 


第 四 步 ， 打 开 浏 览 器 并 访问 http://localhost:8080 ° 
至 此 ， 一 个 Beego 项 目 成 功 构建 了 。 
14.5.3 Gogs: 基于 Go 的 Git 服 务 
Gogs 的 目标 是 打造 一 个 最 简单 、 轻 松 的 方式 搭建 自助 Git 服 务 。 使 


用 Go 语言 开发 使 得 Gogs 能 够 通过 独立 的 二 进 制 分 发 ， 并 且 文 持 Go 语 言 
支持 的 所 有 平台 ， 包 括 Linux、Mac OS X、Windows 以 及 ARM 平 台 。 


Gogs 


A painless self-hosted Git service. 


可 以 使 用 docker run 直 接 创 建 并 运行 镜像 : 


$ docker run --rm --name gogs gogs/gogs 


如 果 需 要 停止 此 镜像 ， 可 以 使 用 docker stop 与 docker rm 指令 : 


$ docker stop gogs; docker rm gogs 


如 果 需 要 将 数据 持久 化 ， 可 以 先 新 建 数据 文件 夹 ， 然 后 将 其 作为 
数据 卷 挂 载 至 gogs 容 器 中 : 
$ mkdir -p /srv/lxc/gogs/data 


$ docker run -d --name gogs \ -p 8300:3000 -p 8322:22 -v /srv/1xc/gogs/data: 
/data gogs/gogs 


14.6 PHP 


PHP (Hypertext Preprocessor， 超 文本 预 处 理 器 ) 是 一 种 通用 的 开 
源 脚本 语言 。 语 法 吸收 了 C、Java 和 Perl 等 语言 的 特点 ， 利 于 学 习 ， 使 
用 广泛 ， 主 要 适用 于 Web 开 发 领域 。PHP 执 行 效率 比 完全 生成 HTML 标 
记 的 CGI 要 高 许多 ;PHP 还 可 以 执行 编译 后 代码 ， 编 译 可 以 达到 加 密 和 
优化 代码 运行 ， 使 代码 运行 更 快 。 


1. 使 用 官方 镜像 


第 一 步 ， 在 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile: 


FROM php:5.6-cli 
COPY . /usr/src/myapp 


WORKDIR /usr/src/myapp 
CMD [ "php", "./hello.php" ] 


3r hello.php C fF: 


«?php 
echo "hello php\n" 
?> 


二 步 ， 运 行 docker build 命 令 构 建 镜 像 : 


3H 


$ docker build -t php-image . 


， 执 行 以 下 命令 去 运行 Docker 镜 像 : 


$ docker run -it --rm --name php-container php-image 
hello php 


2. 挂 载 PHP 项 目 


如 果 读 者 需要 运行 简单 的 ， 甚 至 单 文 件 的 PHP 项 目 ， 那 么 每 次 都 写 
Dockerfile 会 很 麻烦 。 这 种 情况 下 ， 可 以 用 以 下 命令 挂 载 PHP 项 目 : 


$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp php:5.6-cli php your-script.php 


3. 配 合 Apache 使 用 


通常 情况 下 ，PHP 项 目 需要 和 Apache httpd/Nginx 一 起 运行 ， 这 样 
就 需要 PHP 容 器 中 内 含 Apache Web Server。 读 者 可 以 使 用 带 有 apache 标 


签 的 镜像 ， 如 php: 5.6-apache ° 


第 一 步 ， 在 读者 的 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile 


， 并 使 
用 Docker Hub 官 方 的 基础 镜像 : 


FROM php:5.6-apache 
COPY src/ /var/www/html/ 


其 中 ，src/ 是 当前 包含 所 有 PHP 代 码 的 目录 。 
第 二 步 ， 使 用 此 Dockerfile 构 建 自 定 义 镜像 : 
$ docker build -t my-php-app . 


A 


第 三 步 ， 创 建 并 运行 此 镜像 : 


$ docker run -it --rm --name my-running-app my-php-app 


笔者 建议 添 一 个 自 定 义 的 php.ini 配 置 文件 ， 将 其 拷贝 


到 /usr/locallib。 这 样 读者 可 以 对 PHP 项 目 做 更 多 的 定制 化 ， 如 开启 某 


些 PHP 插 件 ， 或 者 对 PHP 解 释 融 进行 一 些 安全 /性 能 相关 的 配置 。 深 加 
方法 很 价 单 : 


FROM php:5.6-apache 
COPY config/php.ini /usr/local/lib/ 
COPY src/ /var/www/html/ 


Oaz 


src/ 征 当前 存放 PHP 代 码 的 文件 夹 ，config/ 文 件 夹 包 含 php.ini 文 
{Fe 


如 采访 者 布 望 直接 使 用 官方 镜像 运行 PHP 项 目 ， 可 以 执行 如 下 命 


$ docker run -it --rm --name my-apache-php-app -v "$(pwd)":/var/www/html php: 
5.6-apache 


14.7 Ruby 


Ruby 是 一 种 动态 的 面向 对 象 的 脚本 语言 ， 具 有 支持 反射 、 跨 平 
台 、 设 计 精 简 等 特点 ， 在 Web 应 用 领域 应 用 颇 多 。Ruby 的 设计 受到 
Perl、Smalltalk、Eiffel、Ada 和 Lisp 的 影响 。Ruby 支 持 多 种 编程 范式 ， 
如 画 数 编程 、 面 向 对 象 编程 、CLI 交 互 式 编程 。Ruby 还 有 动态 的 数据 类 
型 系统 和 自动 的 内 存 管理 。 


首先 ， 在 Ruby 项 目 中 创建 一 个 Dockerfile: 


FROM ruby:2.1.2-onbuild 
CMD ["./rb-sample.rb .rb"] 


然后 ， 新 建 rb-sample.mb 例 子 程序 : 


say = "I love Ruby" 
S.times { puts say } 


将 以 上 文件 放 在 app 的 根 目录 (与 Gemfile 同 级 ) 。 
Qux 


使 用 的 官方 镜像 带 有 onbuild 标 签 ， 意 味 着 包含 了 启动 大 部 分 Ruby 
项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 
COPY./usr/src/app 以 及 RUN bundle install 。 


然后 ， 构 建 名 为 ruby-image 的 镜像 : 


$ docker build -t ruby-image . 


最 后 ， 创 建 并 运行 此 镜像 : 


$ docker run -it --name ruby-container ruby-image 


由 于 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 app 目 录 下 需 
要 有 Gemfile.lock 文 件 。 可 以 在 App 的 根 目 录 运 行 以 下 命令 : 


$ docker run --rm -v "$(pwd)":/usr/src/app -w /usr/src/app ruby:2.1.2 bundle 
install --system 


如 果 读 者 只 需要 运行 单个 的 Ruby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 
建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Ruby 镜 像 ， 带 参数 运 


$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp ruby:2.1.2 ruby your-daemon-or-script.rb 


14.7.2 JRuby 


JRuby 类 似 于 Python 的 Jython， 它 可 运行 于 JVM 上 并 文 持 Java 的 接口 
和 类 。 


& Ruby 


第 一 步 ， 用 户 在 JRuby 项 目 中 创建 一 个 Dockerfile: 


FROM jruby:.1.7.24-onbuild 
CMD ["./jruby-sample.rb"] 


第 二 步 ， 新 建 Ruby 示 例 代 码 jruby-sample.rb: 


say = "I love JRuby" 
3.times { puts say ) 


将 此 文件 放 在 app 的 根 目 录 (与 Gemfile 同 级 ) 。 
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使 用 的 官方 镜像 带 有 onbuild 标 签 ， 和 意味 着 包含 了 局 动 大 部 分 JRuby 
项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ， 会 执行 COPY./usrsrc/app 以 


及 RUN bundle install ° 


第 三 步 ， 构 建 目 定义 镜像 
$ docker build -t jruby-image . 
第 四 步 ， 创 建 并 运行 此 镜像 : 
$docker run -it --name jruby-container jruby-image 


由 于 在 构建 时 使 用 了 种 有 onbuild 标 签 的 镜像 ， 所 以 在 app 目 录 下 需 
要 有 Gemfile.lock 文 件 。 这 时 可 以 在 app 的 根 目 录 运 行 以 下 命令 : 


$ docker run --rm -v "$(pwd)":/usr/src/app -w /usr/src/app jruby:1.7.15 bundle 
install --system 


如 果 读 者 只 需要 运行 单个 的 JRuby 脚 本， 那么 无 需 使 用 Dockerfile 构 
建 目 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 JRuby 镜 像 ， 带 参数 运 


$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp jruby:1.7.15 jruby your-daemon-or-script.rb 


14.7.3 Ruby on Rails 


Rails 十 使 用 Ruby 语 言 编写 的 网 页 程序 开发 框架 ， 目 的 是 为 开发 者 
提供 常用 组 件 ， 简 化 网 页 程序 的 开发 。 只 需 编 写 较 少 的 代码 ， 就 能 
现 其 他 编程 语言 或 框架 难以 企及 的 功能 。 经 验 丰 富 的 Rails 程 序 员 会 发 
现 ，Rails 让 程序 开发 变 得 更 有 乐趣 。 


第 一 步 ， 用 户 在 Rails 项 目 中 创建 一 个 Dockerfile， 将 此 文件 放 在 项 
目 根 目录 (与 Gemfile 同 级 ) ，Dockerfile 内 容 如 下 : 


FROM rails:onbuild 


可 见 用 户 使 用 了 onbuild 标 签 ， 即 此 基础 镜像 会 目 行 完成 一 些 基本 
的 构建 工作 并 包含 了 大 部 分 局 动 一 个 Rails 项 目 所 需 的 基本 指令 。 


Dockerfie 内 容 如 下 : 


FROM ruby:2.3 

# throw errors if Gemfile has been modified since Gemfile.lock 
RUN bundle config --global frozen 1 

RUN mkdir -p /usr/src/app 

WORKDIR /usr/src/app 

ONBUILD COPY Gemfile /usr/src/app/ 

ONBUILD COPY Gemfile.lock /usr/src/app/ 

ONBUILD RUN bundle install 

ONBUILD COPY . /usr/src/app 


第 二 步 ， 构 建 自 定义 镜像 : 
$ docker build -t rails-image . 
第 三 步 ， 创 建 并 运行 此 镜像 : 


$ docker run --name rails-container -d rails-image 


此 时 用 户 可 以 使 用 浏览 絮 访 问 http://container-ip:3000 查 看 服务 ， 当 
然 ， 也 可 以 映 映 到 本 地 主机 端口 。 


$ docker run --name some-rails-app -p 8080:3000 -d my-rails-app 


现在 读者 可 以 使 用 浏览 器 访问 http://localhost:8080 或 者 http://host- 
ip:8080。 


2. 使 用 Compose 搭 建 Rails 应 用 


下 面 使 用 Docker Compose 来 配置 和 运行 一 个 人 简单 的 
Rails+PostgreSQL 应 用 。 


第 一 步 ， 确 定 项 目 文件 夹 内 容 。 新 建 一 个 名 为 rails-compose- 
example 的 项 目 文件 夹 ， 在 其 根 目录 新 建 一 个 Dockerfile 文 件 ， 内 容 如 
下 : 


FROM ruby:2.2.0 

RUN apt-get update -qq && apt-get install -y build-essential libpq-dev 
RUN mkdir /code 

WORKDIR /code 

ADD Gemfile /code/Gemfile 

ADD Gemfile.lock /code/Gemfile.lock 
RUN bundle install 

ADD . /code 

Gemfile 内 容 如 下 : 

source 'https://rubygems.org' 

gem 'rails', '4.2.0' 


下 面 用 户 新 建 docker-compose.yml 文 件 ， 内 容 如 下 : 


version: '2' 
services: 
db: 
image: postgres 
web: 
build: . 
command: bundle exec rails s -p 3000 -b '0.0.0.0' 
volumes: 
- .:/myapp 
ports: 


- "3000:3000" 
depends on: 
- db 


第 二 步 ， 构 建 Rails 项 目 。 可 以 使 用 docker-compose run 指 令 构建 并 
局 动 此 Rails 项 目 : 


$ docker-compose run web rails new . --force --database-postgresql --skip-bundle 


14.8 Perl 


Per 是 一 个 高 级 的 、 动 态 的 解释 型 脚本 语言 ， 它 的 设计 借鉴 了 C、 
Shell、awk 和 sed。Perl 最 重要 的 特性 是 它 内 部 集成 了 正则 表达 式 的 功 
能 ， 以 及 巨大 的 第 三 方 代码 库 CPAN。Perl 像 C 一 样 强 大 ， 同 时 像 awk、 
sed 等 脚本 语言 一 样 富有 表达 性 。Perl 常 见于 系统 管理 和 文件 处 理 等 程 
序 ，Perl 多 数 情 况 下 属于 Web 方 案 中 的 胶水 语言 。 


© Perl 


可 以 使 用 Docker 官 方 的 Pen 镜像 作为 基础 ， 在 此 之 上 进行 必要 的 定 
制 。 


第 一 步 ， 下 载 官方 的 Pen 镜像 : 


$ docker pull perl 


如 琳 读 者 对 Perl 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 


以 便于 在 下 一 步 的 Dockerfile 的 FROM 指 令 


都 有 明确 的 标签 信息 。 


步 ， 在 Perl 项 目 中 新 建 Dockerfile: 


FROM per1:5.20 

COPY . /usr/src/myapp 

WORKDIR /usr/src/myapp 

CMD [ "perl", "./perl-sample.pl" ] 


PI f&perl-sample.pl X ff: 


4!/usr/bin/perl 
print "Hello, World!Nn"; 


第 三 步 ， 通 过 此 Dockerfile 


$ docker build -t perl-image . 


构建 成 功 后 ， 用 户 可 以 通 


$ docker images 
REPOSITORY TAG 
latest 


IMAGE ID 


perl-image bc28eba086ad 


最 后 ， 创 建 容器 并 运行 : 


$ docker run -it --rm -- 
Hello, World! 


CREATED 
About a minute ago 


中 明确 Perl 版 本 号 。 官 方 镜像 


构建 目 定 义 的 镜像 : 


过 docker images 查 看 : 


VIRTUAL SIZE 
654.9 MB 


name perl-container perl-image 


如 有 果 读 者 只 需要 运行 单个 的 Per 脚本， 那么 无 需 使 用 Dockerfile 构 
建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Perl 镜像， 带 参 数 运行 


$ docker run -it --rm --name perl-container -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp perl:5.20 perl perl-sample.pl 
Hello, World! 


如 果 读 者 需要 运行 Pearl 的 Web 项 目 ， 则 最 好 先 目 建 内 置 SSH 服 务 的 
镜像 ， 然 后 以 此 为 基础 定制 Penql 容 器， 这样 可 以 方便 地 通过 SSH 服 务 
问 Perl 容 器 。 


14.9 R 


R 是 一 个 面向 统计 分 析 和 绘图 的 语言 ， 是 由 新 西 兰 奥克兰 大 学 统计 
学 系 的 Ross Ihaka 和 Robert Gentleman 共 同 创立 。R 带 有 大 量 的 统计 软件 
包 ， 如 常见 的 贝 叶 斯 推断 、 聚 类 分 析 、 机 器 学 习 、 空 间 统 计 、 稳 健 统 
计 等 ， 在 生物 信息 、 统 计 学 等 领域 应 用 广泛 。 


Rocker 项 目 是 一 个 Docker 官 方 支持 的 项 目 ， 它 提供 了 R 语 言 的 容器 
环境 支持 。 官 方 提供 的 r-base 镜 像 就 是 基于 Rocker 项 目的 。 
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可 以 直接 运行 官方 提供 的 rbase 镜 像 ， 进 入 交互 模式 的 R 环 境 : 


$ docker run -ti --rm r-base 


退出 交互 命令 行 时 ， 可 以 使 用 quitO 指 令 ， 此 时 可 以 选择 是 否 保存 
工作 空间 : 


> quit() 
Save workspace image? [y/n/c]: 


2. 运 行 R 语 言 批量 模式 


可 以 通过 连接 工作 目录， 来 运行 R 语 言 的 批量 指令 。 把 一 个 卷 
(volume) 连接 至 容器 时 ， 最 好 使 用 一 个 非 根 用 户 ， 这 样 可 以 避免 权 


限 问 题 : 


€ 


docker run -ti --rm -v "$PWD":/home/docker -w /home/docker -u docker r-base R 
CMD check . 

using log directory ‘/home/docker/..Rcheck’ 

using R version 3.3.0 (2016-05-03) 

using platform: x86 64-pc-linux-gnu (64-bit) 

using session charset: UTF-8 

checking for file './DESCRIPTION' ... NO 

DONE 

Status: OK 
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了 R 语 言 命令 


可 以 直接 进入 R 容 器 的 bash 命 令 


$ docker run 


SÍT: 
dist falndcn pu Tx 
在 bash 中 如 采 希 望 下 言 交 互 命令 行 ， 可 以 直接 输入 R 
rootQ4aObba3f4cb4:/bin£ R 
可 以 使 用 vim.tiny 编 辑 器 ， 新 建 rdemo.R 脚 本 
print("Hello,World!") 


保存 后 ， 就 可 以 使 用 Rscript 指 


Rscript demo.R 


rootQ4aObba3f4cb4:/bin£ Rscript demo.R 
[1] "Hello,World!" 


运行 此 脚本 : 


还 可 以 在 R 语 言 
hi.R 脚 本 : 


EO 
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交互 命令 行 中 运行 
hello <- function( name 


sprintf( "Hello, %s", name ); 


R 脚 本 。 首 和 完 ， 在 容 恬 中 新 建 


然后 直接 输入 R 指 令 进 入 交互 命令 行 ， 使 用 source0 函 数 加 载 脚 
本 ， 再 使 用 hello0 函 数 调 用 用 户 的 打印 逻辑 ; 


> source('/bin/hi.R') 
> hello('docker') 

[1] "Hello, docker" 

> 
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在 用 户 将 手头 的 R 项 目 容器 化 的 过 程 中 ， 往 往 需 要 加 入 自己 的 环境 
构建 逻辑 ， 也 需要 运行 自 定义 容器 。 这 种 情况 下 ， 用 户 就 需要 基于 官 
方 提供 的 r-base 基 础 镜像 ， 完 成 目 定 义 的 Dockerfile， 例 如 : 


FROM r-base:latest 

COPY . /usr/local/src/r-scripts 
WORKDIR /usr/local/src/r-scripts 

CMD ["Rscript", "running-r-scripts.R"] 


其 中 running-r-scripts.R 内 容 可 以 简写 为 : print("My R Container! ") 
然后 ， 使 用 docker build 指 令 构 建 : 


$ docker build -t my-r-container /directry/of/Dockerfile 


然后 使 用 docker run 指 令 运 行 容器 ， 并 通过 docker ps 指令 查看 运行 
状态 : 


$ docker run -d my-r-container 
e86739e8226a081372d9bb0fb9f62a32405814b5172a543487b0751839c2e57f 

docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
e86739e8226a my-r-container "Rscript running-r-sc" ..ago Exited (0) 


14.10 Erlang 


Erlang 是 一 种 用 来 构建 大 规模 弹性 、 实 时 、 高 并 发 、 高 可 用 系统 的 
编程 语言 ， 被 广泛 应 用 于 电信 、 银 行 、 电 子 商 务 和 即时 消息 领域 。 
Erlang 的 运行 时 系统 内 置 文 持 并 发 、 分 布 式 和 容错 机 制 。Erlang 由 爱 立 
信 所 辖 的 CS-Lab 于 1987 年 开发 ， 目 的 是 创造 一 种 可 以 应 对 大 规模 并 发 
活动 的 编程 语言 和 运行 环境 。 
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1. 使 用 官方 镜像 
可 以 使 用 erlang 镜 像 ， 直 接 进 入 Erlang 交 互 命令 行 Eshell: 


$ docker run -it --rm erlang:latest 

Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel- 
poll:false] 

Eshell V7.3.1 (abort with ^G) 

1» uptime(). 

3 minutes and 3 seconds 

ok 

2» 


可 以 使 用 ctll+G 进 入 任务 切换 模式 ， 其 中 j 为 列 出 所 有 任务 : 


User switch command 
- j 
1* (shell,start,[init]) 
T q 
$ docker run -it --rm -h erlang.local erlang erl -name allen 
Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel- 
poll:false] 
Eshell V7.3.1 (abort with ^G) 
(allen)i1» erlang:system info(otp release). 
"18" 
(allen)2» 
User switch command 
eu q 


2. 直 接 运 行 Erlang 脚 本 


可 以 直接 使 用 docker run 指 令 ， 通 过 escript 运 行 Erlang 脚 本 。 下 面 以 
斐 波 那 契 数列 作为 例子 进行 讲解 。 


首先 ， 新 建 fab.erl 文 件 : 


4!/usr/bin/env escript 
906 -*- erlang -*- 
main([String]) -» 

try 


list to integer(String), 
fac(N), 

io:format("factorial -w - -wNn", [N,F]) 
catch 


-> 
usage() 


end; 
main( ) -» 
usage(). 
usage() -» 
io:format("usage: factorial integer*n"), 
halt(1). 
fac(0) -» 1; 
fac(N) -> N * fac(N-1). 


保存 后 ， 使 用 docker run 指 令 运 行 


$ docker run -it --rm --name erlang-insti -v "$PWD":/usr/src/myapp -w /usr/src/ 
myapp erlang escript fab.erl 5 
factorial 5 - 120 


可 见 已 输出 factorial 5=120 计 算 结 果 。 


14.11 本 章 小 结 


本 章 主要 介绍 了 如 何 使 用 Docker 搭 建 主流 编程 语言 及 其 常用 开发 
框架 环境 ， 包 括 C、C++、Java ` Python ^ JavaScript ^ Go ^ PHP ^ 


Ruby ` Perl、R、Erlang 等 。 


一 方面 ， 读 者 可 以 很 容易 地 从 Docker Hub 获 取 官 方 镜像 并 使 用 ， 
男 一 方面 ， 用 户 也 可 以 基于 基础 镜像 定制 所 需 的 镜像 文件 。 通 过 这 些 
实践 案例 ， 相 信 读 者 能 体会 到 更 多 合理 使 用 容 絮 化 方案 ， 给 开发 和 部 
署 带 来 的 诸多 优势 。 
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Docker 目 前 已 经 得 到 了 众多 公有 云 平台 的 支持 ， 并 成 为 除 虚拟 机 
之 外 的 核心 云 业 务 。 


除了 AWS、Google、Azure、Docker 官 方 云 服务 等 ， 国 内 的 各 大 公 
A xb 商 ， 基 本 上 都 同时 文 持 了 虚拟 机 服务 和 容器 服务 ， 甚 至 还 专门 


推出 了 容器 云 业务 。 


本 章 将 介绍 国际 和 国内 知名 的 公共 云 容 器 服务 以 及 容 紫 云 的 现 
状 ， 功 能 与 特性 ， 并 以 阿里 云 和 时 速 云 为 例 讲解 具体 使 用 过 程 ， 方 便 
希望 使 用 云 服 务 的 读者 进行 技术 克 型 。 


15.1 公有 云 容器 服务 


公有 云 (Public Cloud) 是 标准 云 计算 (Cloud Computing) 的 一 种 
服务 模式 。 服 务 供应 商 创造 公有 计算 资源 ， 如 网 络 和 存储 资源 。 公 众 
与 企业 可 以 通过 公共 网 络 获 取 这 些 资 源 。 目 前 国内 已 经 有 很 多 公有 云 
厂商 ， 他 们 都 提供 可 以 运行 Docker 环 境 的 虚拟 机 ， 同 时 一 部 分 公有 
厂商 已 经 发 布 了 自己 的 容器 服务 。 
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15.1.1 AWS 


AWS, Amazon Web Services， 是 亚马逊 (Amazon) 公司 的 IaaSs 
和 PaaS 平 台 服 务 。AWS 提 供 了 一 整套 基础 设施 和 应 用 程序 服务 ， 使 用 
户 几 乎 能 够 在 云 中 运行 一 切 应 用 程序 ， 从 企业 应 用 程序 和 大 数据 项 


目 ， 到 社交 游戏 和 移动 应 用 程序 。AWS 面 向 用 户 提供 包括 弹性 计算 、 
存储 、 数 据 库 、 应 用 程序 在 内 的 一 整套 云 计算 服务 ， 能 够 帮助 企业 降 
低 代 投入 成 本 和 维护 成 本 。 


目 2006 年 初 起 ， 亚 号 还 AWS 开 始 在 云 中 为 各 种 规模 的 公司 提供 技 
术 服 务 平台 。 利 用 亚 蕊 还 AWS， 软 件 开发 人 员 可 以 轻松 购买 计算 、 存 
储 、 数 据 库 和 其 他 基于 Internet 的 服务 来 文 持 其 应 用 程序 。 开 发 人 员 能 
够 灵活 选择 任何 开发 平台 或 编程 环境 ， 以 便于 其 洋 试 解决 问题 。 由 于 
开发 人 员 只 需 按 使 用 量 付费 ， 无 需 前 期 货 本 文 出 ， 亚 马 逊 AWS 是 问 最 
终 用 户 交 付 计算 资源 、 保 存 的 数据 和 其 他 应 用 程序 的 一 种 经 济 划 算 的 
psa 


2015 年 AWS 正 式 发 布 了 容器 服务 (ECS) ， 如 图 15-1 所 示 。ECS 的 
目的 是 让 Docker 容 器 变 得 更 加 简单 ， 它 提供 了 一 个 集群 和 编排 的 层 ， 
用 来 控制 主机 上 的 容器 部 署 ， 以 及 部 署 之 后 集群 内 容器 的 生命 周期 管 
理 。ECS 是 诸如 Docker Swarm、Kubernetes、Mesos 等 工具 的 替代 ， 它 
们 工作 在 同一 个 层 ， 除 了 作为 一 个 服务 来 提供 。 这 些 工 具 和 ECS 不 同 的 
地 方 在 于 ， 前 者 需要 用 户 自己 来 部 署 和 管理 ， 而 ECS 是 “作为 服务 ”来 提 
供 的 。 
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图 15-1 AWS 容 器 服务 


15.1.2 Google Cloud Platform 


Google Cloud Platform (GCP) 平台 提供 了 丰富 全 面 的 云 产品 ， 可 
以 让 企业 专注 于 自己 的 业务 ， 而 将 IT 底层 架构 托管 给 谷歌 。 谷 歌 云 平 
台 文 持 App 引 擎 、 容 器 引擎 、 容 器 仓库 ， 还 文 持 丰富 的 数据 库 、 网 络 、 
安全 、 大 数据 ， 甚 至 机 器 学 习 产品 。Google 云 平台 发 布 了 Google 容 器 
引擎 ， 图 15-2 描 述 了 如 何在 开发 场景 中 使 用 Google 容 器 引 警 。 


Google Cloud Platform 


Google 容 器 引 敬 有 以 下 特性 : 


:自动 化 容器 管理 :Google Container Engine 是 一 个 强大 的 集群 管理 
和 编排 系统 。 这 个 容器 引 敬 可 以 按 需 将 Docker 容 器 编排 至 集群 中 有 目 动 


运行 ， 同 时 可 以 目 定 义 CPU 和 内 存 等 配置 。 此 引擎 基于 Kubernetes， 它 
可 以 提供 弹性 ， 高 可 用 的 云 基础 服务 。 

分钟 级 构建 集群 : 使 用 谷歌 容器 服务 ， 用 户 可 以 在 分 钟 级 别 构建 
完整 的 集群 ， 包 含 健康 检查 、 日 志 服 务 ， 以 及 应 用 管理 系统 。 


弹性 与 开源 : Red Hat ` Microsoft ` IBM ` Mirantis OpenStack 以 及 
VMware 都 完成 了 它们 的 系统 与 Kubernetes 的 兼容 或 集成 。 用 户 可 以 平 
滑 搭 建 混合 云 ， 也 可 以 平滑 迁移 系统 到 云 上 。 


Google 


Cloud Shell 
My Hello Hello 
World App d App 


Docker Container Container 


$ docker build 
$ gcloud docker push 


HelloWorld 
Docker ü 
Image 
Google Container Registry 
(gcr.io) Google Cloud Platform project 
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15.1.3 Azure 


微软 Azure 在 国内 是 由 世纪 互联 运营 的 ， 它 是 在 中 国 大 陆 独 立 运营 
的 公有 云 平 台 ， 与 全 球 其 他 地 区 由 微软 运 晤 的 Azure 服 务 在 物理 上 和 你 
辑 上 独立 。 采 用 微软 服务 于 全 球 的 Azure 技 术 ， 为 客户 提供 全 球 一 致 的 
服务 质量 保障 。 位 于 上 海 和 北京 的 数据 中 心 在 距离 相 隅 1000 公 里 以 上 
的 地 理 位 置 提供 异地 复制 ， 为 Azure 服 务 提供 了 业务 连续 性 支持 ， 实 现 
了 数据 的 可 车 性 。 
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Windows Azure 


在 容 圳 方面 ， 从 2014 年 开始 ，Azure 首 先 采 取 了 在 Linux 虚 拟 机 上 兼 
容 Docker 的 方式 来 吸引 社区 的 开发 者 。2014 年 进一步 宣布 与 Google 和 
Docker 人 合作， 以 此 文 持 Kubernetes 和 Swarm 开源 项 目 在 其 云 平 台 上 的 运 


行 。Docker 官 方 也 推出 了 Docker Machine 的 Azure 版 本 。2015 年 ，Azure 


发 布 了 Azure 容 器 服务 (Azure Container Service, ACS) ， 同 时 支持 
Docker Swarm 和 Apache Mesos 集 群 编排 工具 。 


15.1.4 MZ 


腾讯 云 在 架构 方面 经 过 多 年 积累 ， 并 且 有 着 多 年 对 海量 互联 网 服 
务 的 经 验 。 不 管 是 社交 、 游 戏 还 是 其 他 领域 ,都 有 多 年 的 成 熟 产 品 来 
提供 产品 服务 。 腾 讯 在 云端 完成 重要 部 署 ， 为 开发 者 及 企业 提供 云 服 
务 、 云 数据 、 云 运营 等 整体 一 站 式 服务 方案 。 


ED 腾讯 云 


具体 包括 云 服务 右 、 云 存储 、 云 数据 库 和 弹性 web 引擎 等 基础 云 服 
腾讯 云 分 析 (MTA) 、 腾 讯 云 推送 MA) 等 腾讯 整体 大 数据 能 
以 及 QQ 互联 、QQ 空 间 、 微 云 、 微 社区 等 云端 链接 社交 体系 。 这 
正 是 腾讯 云 可 以 提供 给 这 个 行业 的 差异 化 优势 ， 造 就 了 可 文 持 各 种 
互联 网 使 用 场景 的 高 品质 的 腾讯 云 技术 平台 。 
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2015 年 1 月 6 日 ， 腾 讯 云 正 式 宣布 成 文 持 Docker Machine， 并 将 自身 
定位 于 Docker 基 础 设施 的 服务 商 。 与 此 同时 ， 在 文 持 Docker Machine 前 
提 下 ， 腾 讯 云 也 推出 了 常用 系统 的 标准 版 Docker 镜 像 ， 方 便 用 户 创建 
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15.1.5. WEZ 


阿里 云 创立 于 2009 年 ， 是 中 国 较 早 的 云 计 算 平 台 。 阿 里 云 致 力 于 
提供 安全 、 可 靠 的 计算 和 数据 处 理 能 力 。 阿 里 云 的 客户 群体 中 ， 活 跃 
着 微 博 、 知 乎 、 魅 族 、 锤 子 科 技 、 小 咖 秀 等 一 大 批 明星 互联 网 公司 。 


在 天 猫 双 11 全 球 狂欢 世 等 极 富 挑战 的 应 用 场景 中 ， 阿 里 云 保持 着 民 好 


的 运行 记录 。 
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服务 极 大 简化 了 用 户 对 容器 管理 集群 的 搭建 工作 ， 无 颖 整合 了 阿里 云 
虚拟 人 化、 存储、 网 络 和 安全 能 力 。 容 器 服务 提供 了 多 种 应 用 发 布 方式 
和 流水 线 般 的 持续 交付 能 力 ， 原 生 文 持 微 服务 架构 ， 助 力 用 户 无 颖 上 
云 和 路 云 管理 。 


15.1.6 ”华为 云 


华为 云 已 经 正式 推出 了 云 容 器 服务 一 一 CCE (Cloud Container 
Engine) 容器 引擎 ， 该 服务 基于 以 Docker 为 代表 的 容器 技术 ， 旨 在 提供 
从 开发 、 构 建 、 部 署 /托管 、 监 控 、 弹 性 伸缩 、 故 障 恢 复 等 全 生命 周期 
的 一 站 式 解 决 方案 。CCE 容 器 引擎 自 上 线 以 来 ， 已 经 在 多 个 行业 市 场 


取得 重大 进展 ， 在 “互联 网 、 金 融 、 政 企 等 领域 与 多 家 合作 伙伴 达成 
合作 。 


W Huawei 
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群 的 全 生命 周期 管理 和 可 视 化 监控 运 维 。 还 可 以 秒 级 构建 不 同形 态 和 
规模 的 应 用 程序 ， 兼 容 业 界 Docker 等 生态 ， 并 支持 应 用 的 弹性 伸缩 和 


丰 刘 的 监控 告警 服务 。 


15.1.7 UCloud 


UCloud 是 基础 云 计算 服务 提供 商 ， 长 期 专注 于 移动 互联 网 领域 ， 
深度 了 解 移动 互联 网 业务 场景 和 用 户 需 求 。 针 对 特定 场景 ，UCloud 通 
过 自主 研发 提供 一 系列 专业 解决 方案 ， 包 括 计算 资源 、 存 储 资 源 和 网 
络 资源 等 企业 必须 的 基础 IT 架构 服务 ， 满 足 互联 网 研发 团队 在 不 同 场 
景 下 的 各 类 需求 。 已 有 数 千 家 移动 互联 网 团队 将 其 核心 业务 迁移 至 
UCloud 云 计算 服务 平台 上 。 依 托 位 于 国内 、 亚 太 、 北 美的 全 球 10 大 数 


据 中 心 以 及 北 、 上 、 广 、 深 、 杭 等 全 国 11 地 线 下 服务 站 ，UCloud 已 为 
近 4 万 家 企业 级 客户 提供 服务 。 


CLOUD 


UCloud 容 器 集群 服务 是 可 灵活 便捷 使 用 的 容器 服务 ， 资 源 可 分 布 
于 多 个 可 用 区 ， 具 有 更 高 容 灾 能 力 。 支 持 用 户 自由 创建 管理 ， 可 以 灵 
活 绑 定 一 个 或 多 个 EIP 并 具有 独立 的 内 网 耳 及 独立 的 防火 墙 。 


容器 即 服务 (Contanerasa Service, CaaS) 可 以 按 需 提供 容器 化 环 
境 和 应 用 服务 。 有 具体 说 来 ，CaaSs 提 供 一 个 受 探 的、 安全 的 应 用 环境 
让 开发 人 员 以 自助 的 方式 构建 和 部 署 应 用 ， 如 图 15-3 所 示 。 
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[15-3 CaaS Workflow 


开发 和 运 维 团 队 (Developers) 通过 Docker Registry 相 互 协作 。 
Registry 服 务 维护 一 个 安全 的 经 过 签名 的 映像 仓库 。 开 发 者 
(Developers) 可 以 通过 Registry 服 务 将 应 用 镜像 拉 取 至 本 地 ， 并 按 自 
己 的 意愿 构建 应 用 。 当 应 用 通过 集成 测试 后 ， 开 发 者 将 其 推送 至 


Registry， 这 样 既 可 保存 最 新 版 本 的 镜像 。 以 上 的 应 用 部 嗜 可 以 完全 目 
动 化 。 


CaaSs 的 崛起 将 促进 Ops-originated 类 型 的 程序 交付 。 开 发 与 运 维 之 
间 的 平衡 、 灵 活性 和 控制 将 会 改善 。 基 于 容器 的 服务 将 发 展 到 以 运 维 
主导 ， 代 赫 原 来 的 开发 者 模型 ， 开 发 和 运 维 将 共享 开发 生命 周期 。 当 
然 ， 容 絮 也 将 成 为 生产 主流 。 


15.2.1 基本 要 素 与 天 键 特 性 


一 般 而 言 ，CaaS 应 该 可 以 提供 容器 运行 平台 ， 并 管理 容器 所 需 资 
源 ， 基 于 IaaS 提 供 灵 活 的 网 络 与 部 署 能 力 ， 支 持 多 租户 ， 支 持 高 弹性 。 
具体 而 言 ，CaaS 有 以 下 基本 要 素 : 


- 容 故 调度 ， 调 度 和 管理 容器 ; 


.服务 发 现 : 将 容器 化 的 服务 ， 注 册 到 服务 发 现 工具 ， 确 保 服 务 之 
则 的 通信 ; 


网络 配置 : 用户 可 访问 容 右 ， 并 实现 跨 主 机 容 右 通信 ; 


-安全 配置 ， 只 开放 容 右 监听 的 端口 ; 


-负载 均衡 : 避免 单 点 过 载 ; 


数据 持久 化 : 容 禹 内 数据 云端 持久 化 ; 


容错 与 高 可 用 : 日 志 与 管理 ， 容 器 监控 ; 


Caas 的 关键 特性 : 


-开发 者 和 运 维 角 色 的 进一步 有 机 融合 。 


-容器 化 应 用 程序 生命 周期 的 所 有 阶段 。 


让 开发 者 更 加 关注 构建 应 用 本 号 ， 而 无 需 关 注 运 行 环境 。 


文 持 多 种 底层 基础 设施 ， 包 括 多 种 操作 系统 和 和 平台。 


.API 变 得 越 来 越 重 要 ， 不 同 服务 之 间 通 过 API 相 互 调 用 。 


15.2.2 WAIK 


网 易 蜂巢 是 网 易 基 于 上 自 研 IaaS 平 台 深 度 优化 ， 推 出 的 一 球 采 用 
Docker 容 器 化 技术 的 新 一 代 云 计算 平台 ， 全 面 助力 加 速 研发 全 流程 。 
拥有 BGP 多 线 接 入 ， 全 万 兆 网 络 ， 全 SSD 存 储 等 优质 硬件 资源 ， 目 抵 向 
上 确保 安全 、 极 速 、 稳 定 的 研发 体验 ， 参 见 图 15-4。 
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网 易 蜂 昌 主要 提供 三 大 产品 : 


- 容 絮 云 ， 蜂 巢 提供 企业 级 的 容器 云 平 台 ， 文 持 应 用 集群 一 键 部 
署 ， 云 计算 资源 弹性 扩展 ，Docker 官 方 镜 像 加 速 。 此 外 蜂 梨 还 支持 负 
载 均衡 以 及 镜像 仓库 服务 ; 


平台 服务 : 蜂 梨 提供 高 性 能 、 高 可 用 、 高 可 靠 的 数据 库 和 缓存 服 
务 ， 与 容器 云 相 辅 相 成 ， 让 开发 者 可 以 专注 于 应 用 开发 和 业务 发 展 。 
此 外 蜂 于 平台 服务 还 提供 对 象 存储 以 及 安全 服务 ; 


' 运 维 工 具 : 蜂巢 提供 性 能 监 控 、 报 敬 ， 日 志 采 集 等 运 维 工具 ， 提 


升 开发 、 运 维 效 率 ， 同 时 提供 OpenAPI， 灵 活 管 理 资源 。 


图 15-4 网易 蜂 梨 Caas 架 构 示 意图 


蜂巢 提供 的 计算 资源 最 小 单位 ， 而 要 实现 一 个 可 水 平 扩 展 


容器 是 
的 产品 服务 端 架构 ， 则 需要 引入 集群 的 概念 ， 在 网 易 蜂 集 中 称 之 为“ 服 
务 "， 集 群 的 运 维 如 发 布 、 回 深 、 扩 容 、 缩 容 以 及 集群 的 成 员 管理 需要 


引入 编排 服务 来 实现 。 网 易 蜂 昌 的 编排 服务 基于 开源 项 目 Kubernetes， 
编排 服务 将 受 控 的 资源 抽象 为 三 个 层次 : 


- 容 絮 :软件 及 运行 环境 ，; 


Pod: 相关 联 的 容 右 的 组 合 ， 相 互 间 通信 无 需 跨 网 络 ， 例 如 应 用 服 
务 器 和 本 地 缓存 ， 可 以 容纳 一 个 或 多 个 容 右 ; 


Node: 提供 计算 、 了 网络、 存储 的 资源 节点 ， 可 以 容纳 一 个 或 多 个 
Pod ° 


15.2.3 WEZ 


时 速 云 是 国内 领先 的 容 硕 云 乎 台 和 解决 方案 提供 商 。 基 于 Docker 
为 代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 发 布 、 持 
续集 成 /交付 、 容 器 部 署 、 运 维 管理 的 新 一 代 云 计算 平台 。 其 中 包括 标 
准 化 、 高 可 用 的 镜像 构建 ， 存 储 服务 、 大 规模 、 可 伸缩 的 容器 托管 服 
务 ， 及 自 有 主机 集群 混合 云 服务 。 时 速 云 致 力 打造 下 一 代 以 应 用 为 中 
心 的 云 计算 平台 ， 帮 助 客户 优化 开发 运 维 环节， 提高 业务 效率 ， 降 低 
IT 成 本 ， 实 现 持续 创新 。 
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时 速 云 做 基于 Kubernetes 的 CaaS 平 台 ， 以 容器 化 应 用 作为 交付 的 标 
准 ， 立 足 于 公有 云 ， 为 开发 者 和 企业 提供 了 一 个 快速 构建 、 集 成、 部 


署 、 运 行 容 器 化 应 用 的 平台 ， 帮 助 开 发 者 和 企业 提高 应 用 开发 的 碗 代 
效率 ， 信 化 运 维 环 记 ， 降 低 运 维 成 本 。 客 户 包括 华 大 基因 、 泵 东方 、 
中 国 移动 、 新 浪 、 腾 讯 等 重量 级 用 户 。 


时 速 云 拥有 四 大 核心 产品 线 ， 包 括 : 


“企业 级 容 右 云 平台 : 兼 具 IaaS 的 便利 ，PaaS 的 人 商 单 ， 原 生 集 群 快 
速 创建 ， 上 千 节 点 集群 的 快速 调度 、 部 署 。 


.企业 级 镜像 仓库 : 集群 化 部 署 、 多 角色 权限 控制 、 集 成 企业 
LDAP、 增 强 扩 展 组 件 、 可 视 化 管理 。 


:持续 集成 和 持续 交付 (CVCD) : 轻松 云端 构建 、 定 制 集成 、 部 
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-镜像 及 安全 服务 中 心 : 多 层次 镜像 扫描 、 服 务 安全 防护 、 可 视 化 
审查 、 第 三 方 规则 接 入 。 


15.2.4 Daocloud 


Daocloud 成 立 于 2014 年 玉 ， 是 新 一 代 容 器 云 计算 领域 的 明星 企 
业 。Daocloud 产 品 线 池 盖 互联 网 应 用 的 开发 、 交 付 、 运 维和 运 避 全 生 
命 周 期 ， 并 提供 公有 云 、 混 合 云 和 私有 云 等 多 种 交付 方式 。 参 见 图 15- 
5 o 
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[15-5  Daocloud CaaS 平 台 


除了 公有 云 服 务 开 始 商 用 之 外 ，DaoCloud 还 公布 了 面向 大 型 企业 
用 户 ， 以 混合 云 方 式 交 付 的 托管 云 和 私有 云 服 务 。 在 企业 既 有 I 框 染 
内 ， 和 针对 具体 企业 业务 和 需求， 定制 高 度 可 控 的 跨 云 跨 网 的 混合 式 容 履 
去 平台， 帮助 企业 打造 文 撑 互 联网 级 业务 的 基础 设施 。 


DaoCloud 对 国内 容器 技术 社区 有 不 间断 的 技术 和 资源 投入 ， 
Docker Hub 加 速 絮 在 国内 被 开发 者 广泛 使 用 ， 并 承诺 为 开发 者 提供 永 
久 人 免费 的 社区 资源 服务 。 


15.2.5 RÆK 
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JE sg BEA ^ SERRADA T YEBSIS HR TREH)ZOL TUBOS, WA 
户 提高 开发 部 署 效率 ， 降 低 客 户 IT 成 本 ， 并 使 客户 可 以 专注 于 核心 业 

。 云 涂 科 技 产 品 线 以 容器 这 个 新 一 代 应 用 交付 件 为 中 心 ， 全 方位 文 
持 云 端 应 用 创建 、 编 译 、 集 成 、 部 署 、 运 行 的 每 一 个 环节 


alauda 


RED BERRA 


灵 誉 云 产 品 线 包 括 Docker 托 管 服务 和 镜像 服务 。 Docker 托 管 服务 近 
供 高 效 ， 高 可 用 的 运行 环境 ， 并 文 持 上 自动 化 部 署 。Docker 托 管 服务 还 
提供 目 动 修复 ， 目 动 扩 展 ， 负 载 均 衡 等 服务 ， 并 在 此 基础 之 上 提供 可 
扩展 的 监控 ， 日 志 管 理 系统 。 镜 像 服务 提供 高 性 能 本 地 Registry 服 务 用 
于 创建 私有 ， 公 有 镜像 仓库 ， 提 供 上 传 ， 下载 ,构建 及 托管 的 全 方位 
镜像 服务 。 目 前 ， 灵 徐 云 已 经 在 北京 区 ， 上 海区 和 香港 区 搭建 了 基于 
Azure 的 CaaS 服 务 体 系 。 


152.66 AAZ 


数 人 云 由 原 Google 架 构 师 王 瑛 博士 于 2014 年 创立 ， 致 力 于 打造 下 
一 代 轻 量 级 Paas 平 台 ， 将 应 用 弹性 做 到 极致 。“ 数 人 云 " 是 一 款 部 署 在 
公有 云 、 私 有 云 以 及 混合 云 之 上 的 企业 级 云 操作 系统 ， 虽 在 帮助 用 户 
在 云端 快速 建立 并 稳定 运行 一 个 高 性 能 生产 环境 ， 将 应 用 弹性 做 到 极 
致 ， 实 现 一 站 式 的 微服 务 染 构 集群 系统 ， 参 见 图 15-6。 


SaaS 
系统 


图 15-6” 数 人 云 平台 


“ 数 人 云 ” 的 云 操作 系统 ， 是 一 款 部 署 在 公有 云 或 者 私有 云 DC) 
之 上 的 应 用 运 维 软件 ， 旨 在 帮助 用 户 在 云端 快速 建立 并 稳定 运 维 一 个 
高 性 能 生产 环境 。 基 于 领先 的 Mesos 和 Docker 技 术 ， 数 人 云 可 为 用 户 的 
业务 系统 带 来 高 可 用 的 服务 质量 ， 快 速 的 性 能 伸缩 ， 高 效 的 资源 利用 
以 及 便捷 的 可 视 化 管理 和 监控 ， 同时 ， 数 人 云 保 证 用 户 的 计算 资源 和 
数据 完全 为 用 户 私 有 可 控 。 


15.3 阿里 云 容器 服务 


ACS (Alicloud Container Service， 阿 里 云 容器 服务 ) 是 一 种 高 性 
可 伸缩 的 容器 管理 服务 ， 支 持 在 一 组 阿里 云云 服务 器 上 通过 Docker 
器 来 运行 或 编排 应 用 。ACS 让 用 户 可 以 轻松 的 进行 容器 管理 集群 的 
建 。 此 外 ，ACS 整 合 了 负载 均衡 、 专 有 网 络 等 丰富 的 阿里 云云 产 
， 足 以 支撑 企业 级 IT 架 构 的 云 化 与 容器 化 ， 微 服务 化 。 用 户 还 可 以 
过 阿里 云 控 制 台 或 Restful API (兼容 Docker API) 进行 容器 生命 周期 
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理 ， 参 见 图 15-7。 


RDS 


图 15-7 阿里 云 容 器 服务 


ACS 容 器 服务 具有 以 下 优势 : 


简单 易 用 : 一 键 创 建 容器 集群 ， 全 兼容 Docker Compose 模 板 编排 
应 用 ; 支持 图 形 化 界面 和 Open API 一 站 式 网 络 、 存 储 、 日 志 、 监 
控 、 调 度 、 路 由 和 持续 发 布 管理 ; 


-安全 可 探 : 用 户 拥有 并 独占 云 服务 器 ;支持 定制 安全 组 和 专 有 网 
络 VPC 安全 规则 ;集群 级 别 基于 证 书 的 认证 体系 ; 支持 证 书 刷新 ; 容 
郁 级 别 的 货 产 隔离 和 流 控 ; 文 持 集群 级 别 和 子 账 号 级 别 的 权限 管理 ; 


.协议 兼容 : 兼容 标准 Docker Swarm API， 支 持 应 用 无 颖 迁 云 ， 支 


持 混 合 云 场景 ;兼容 Docker Compose 模 板 协 议 ， 文 持 通 过 API 对 接 ， 


实 
现 第 三 方 的 调度 下 发 和 系统 集成 ; 
:高效 可 靠 : 文 持 海量 容器 秒 级 局 动 ， 文 持 容器 的 异 肖 恢复 和 卓 动 


伸缩 ， 文 持 跨 可 用 区 的 高 可 用 ; 
下 面 介绍 阿里 云 的 应 用 场景 。 
1.Web 应 用 容 亏 化 部 署 


容 妖 服务 支持 自动 化 地 配置 负载 均衡 SLB 和 后 端 云 服务 器 ECS， 通 
过 选择 Web 应 用 对 应 的 Docker 镜 像 ， 


HERBA: 


支持 多 种 灰 度 发 布 策略 ， 包 括 蓝 绿 发 布 和 人 金 丝 逢 发 布 ， 保 证 应 用 
平滑 升级 。 


文 持 查 看 容器 和 系统 等 不 同 维度 的 监控 ， 并 配置 扩容 和 弹性 伸缩 
的 策略 


文 持 通 过 声明 的 方式 配置 后 端的 数据 库 等 云 服 务 。 


2. 持 续集 成 系统 构建 


在 阿里 云 容 器 镜像 服务 创建 一 个 自动 构建 类 型 的 镜像 仓库 ， 选 择 
关联 代 码 源 到 Github 或 云 Code。 当 代码 提交 后 ， 会 触发 Docker 镜 像 的 目 
动 构建 ， 参 见 图 15-8 。 


在 镜像 Webhook 里 配置 容器 服务 的 trigger API， 这 样 当 镜像 构建 完 
毕 后 ， 束 会 触发 容器 的 自动 部 署 ， 实 现 流水 线 般 的 持续 集成 和 持续 交 


Github 容 册 镜像 服务 


图 15-8 Web 应 用 容 絮 化 部 署 染 构 示意 图 


3. 微 服务 以 构 系 统 构建 


将 用 户 现 有 的 系统 从 业务 领域 或 横 回 扩展 等 维度 拆 分 成 多 个 微服 
务 ， 每 个 微服 务 的 内 容 用 一 个 镜像 管理 。 


通过 Docker Compose 编 排 模 板 摘 述 微服 务 之 间 的 依赖 关系 和 配 
置 。 在 容器 服务 选择 编排 模板 一 键 创建 应 用 ， 参 见 图 15-9。 


ia 
(服务 B) 


为 了 进一步 提高 容器 服务 的 易 用 性 和 可 用 性 ， 阿 里 云 容 器 服务 提 
供 了 许多 常用 工具 ， 如 阿里 云 版 本 docker-machine， 阿 里 云 容器 加 速 
右 ， 以 及 阿里 云 容器 Hub 服 务 。 


如 有 条 想 要 了 解 更 多 信息 ， 可 以 访问 阿里 云 官 方 网 站 : 


https://www.aliyun.com ° 


15.4 时 速 云 容 釉 平台 


时 速 云 是 国内 领先 的 容 大 云 平台 和 解决 方案 提供 商 ， 基 于 Docker 
为 代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 快 速 发 
布 、 持 续集 成 /多 付 ， 以 及 容器 化 应 用 的 部 署 运行 、 运 维 管理 的 新 一 代 
云 计 算 平台 。 其 中 包括 标准 化 、 高 可 用 的 镜像 构建 ， 分 布 式 、 高 可 用 
的 存储 服务 ， 大 规模 、 可 伸缩 的 容 右 托管 服务 ， 以 及 私有 主机 集群 管 
理 的 寓 合 云 服务 。 时 速 云 也 一 直 致 力 于 打造 下 一 代 以 应 用 为 中 心 的 云 
计算 平台 ， 帮 助 用 户 优化 开发 运 维 环 下 ， 提 高 业务 效率 ， 降 低 IT 成 
本 ， 实 现 持续 创新 。 其 架构 参见 图 15-10 。 


时 速 云 公有 云 服务 的 主要 功能 包括 “ 容 右 服务 "”、“ 持 续集 成 *、“ 镜 
像 服务 "”、“ 上 服务 编排 ?和 “私有 集群 "， 泗 盖 了 以 容 絮 技术 为 基础 的 应 用 
平台 所 需要 的 支撑 能 力 ， 权 衡 了 平台 未 来 对 公有 云 、 私 有 云 以 及 混合 
云 等 不 同 场景 的 扩展 支持 。 通 过 容 右 技术 的 运用 ， 平 台 具 有 如 下 特 
点 


o 


Web Mobile Saas 面向 应 用 的 CaaS 云 平台 


TenxCloud 云端 管理 模块 公有 云 服务 


时 速 云 仅 有 集群 私有 Docker 主机 集群 


自 有 云 主 机 、 虚 拟 机 、 物 理 机 


图 15-10 时速 云 微 服务 架构 系统 构建 架构 示意 图 


1. 标 准 、 轻 量 的 镜像 和 容器 技术 


为 用 户 应 用 开发 提供 统一 、 目 动 的 交付 流程 ， 避 免 平台 依赖 性 ， 
人 简单、 快速 的 在 不 同 平台 之 间 迁 移 ， 轻 松 实现 应 用 级 别 的 版 本 控制 ， 
升级 、 回 深 、 弹 性 伸缩 ， 以 及 监控 管理 ， 通 过 操作 系统 层 的 隔离 拉 
术 ， 提 高 底层 资源 的 利用 率 。 


2. 丰 富 的 镜像 服务 


平台 上 积累 了 上 万 种 镜像 服务 ， 涵 盖 了 操作 系统 、 各 种 语言 开发 


环境 、 云 数据 库 、Web 服 务 器 ， 满 足 用 户 快速 上 手 使 用 和 高 级 定制 化 的 


3. 从 代码 到 部 署 运 维 的 一 整套 上 自动 化 方案 


通过 集成 代码 托管 服务 (支持 GitHub、BitBucket、Coding、Gitlab 
等 主要 代码 仓库 ) ， 实 现 从 代码 提交 到 自动 镜像 构建 的 持续 集成 ， 以 
及 对 服务 进行 自动 更 新 的 持续 部 署 服务 ， 再 结合 平台 的 管理 运 维 能 
力 ， 大 大 减 小 应 用 开发 的 成 本 ， 并 提高 迭代 效率 。 


4. 私 有 容 右 集群 


私有 容 融 集群 是“ 时 速 云 ” 推 出 的 最 有 特色 的 功能 之 一 。 顾 名 思 
X, “集群 "是 由 多 个 计算 机 组 成 ， 但 不 仅仅 是 机 夯 的 堆砌 ;作为 一 个 
整体 ， 集 群 用 来 提供 高 质量 不 间断 的 服务 ， 具 有 很 高 的 容错 性 ， 而 集 
群 中 的 单个 节点 〈 一 般 指 机 器 ) 实现 功能 上 相同 或 者 互补 的 服务 ， 一 
旦 宕 机 ， 应 用 会 快速 迁移 到 其 他 可 用 市 点 ， 保 证 业务 的 连续 性 。 而 且 
平台 提供 了 普通 、 跨 云 两 种 集群 模式 ， 适 用 于 不 同 用 户 的 场景 需求 。 


通过 集群 化 的 管理 用 户 的 实体 主机 、 虚 拟 机 或 者 云 主 机 上 的 资 
源 ， 合 理 规划 和 充分 利用 现 有 的 计算 和 存储 资源， 并 在 目 己 的 私有 集 
群 上 尝试 、 运 用 镜像 和 容器 技术 ， 通 过 这 些 新 技术 推进 自己 的 产品 在 
开发 、 运 维 、 部 署 、 交 付 等 各 个 环节 上 的 变 音 及 创新 ， 逐 渐 搭 建 和 形 
成 目 己 的 私有 云 架 构 。 


如 采 布 望 了 解 关 于 时 速 云 的 更 多 信息 ， 可 以 访问 官方 网 站 ; 


https://www.tenxcloud.com ° 


15.5 “本草 小 结 


本 革 介 绍 了 公有 云 服务 对 Docker 的 积极 支持 ， 以 及 新 出 现 的 容器 
云 平 台 。 事 实 上 ，Docker 技 术 的 出 现 目 身 束 极 大 推动 了 云 计 算 行 业 的 
发 展 。 

通过 整合 公有 云 的 虚拟 机 和 Docker 方 式 ， 可 能 获得 更 多 的 好 处 ， 


包括 : 


更 快速 的 持续 交付 和 部 车 能力 


-利用 内 核 级 虚拟 化 ， 对 公有 云 中 服务 右 资 源 进行 更 加 融 效 的 利 


:利用 公有 云 和 Docker 的 特性 更 加 方便 地 迁移 和 扩展 应 用 。 


同时 ， 容 器 将 作为 与 虚拟 机 类 似 的 业务 直接 提供 给 用 户 使 用 ， 极 
大 地 丰 主 了 应 用 开发 和 部 署 的 场景 。 


第 16 草 ”容器 实战 思考 


在 大 量 应 用 容器 技术 到 开发 和 运 维 实践 中 之 后 ， 相 信 读 者 都 会 产 
生 不 少 体会 。 这 个 时 候 ， 及 时 进行 经 验 总 结 十 分 有 必要 。 


本 章 笔 者 将 分 享 自己 在 实践 中 的 一 些 思考 体会 ， 包 括 开发 人 员 该 
如 何 看 待 容器 ，DevOps 团 队 该 如 何 使 用 容器 ， 以 及 生产 部 署 容器 的 一 
些 要 点 等 。 


16.1 Docker 为 什么 会 成 功 


Docker 实 现 的 种 种 基础 技术 (cgroups、namespace、 分 层 文件 系 
统 ) 在 Docker 之 前 已 经 存在 很 多 年 。 并 且 ，LXC 也 在 诸多 企业 的 生产 
环境 中 得 到 了 大 量 的 应 用 实践 ， 并 得 到 了 极为 明显 的 性 能 优势 。 
Google 大 规模 容 絮 集群 的 性 能 比 传统 虚拟 机 要 高 很 多 ， 接 近 于 Bare 
Metal。 与 传统 虚拟 机 相 比 ， 容 右 集 群 让 这 些 公 司 拥有 秒 级 而 非 分 钟 级 
的 弹性 计算 伸缩 能 力 ， 同 时 使 用 更 少 的 机 融和 运行 更 多 实例 。 


既然 容 亏 技术 有 如 此 大 的 优势 ， 为 什么 Docker 之 前 ， 容 融 并 没有 
引发 广泛 的 关注 呢 ? 核心 的 问题 在 于 易 用 性 ， 而 Docker 解 决 了 这 个 问 


题 。 


Docker 首 次 创造 了 一 种 简单 易 行 并 且 履 盖 应 用 全 生命 周期 的 工作 
流 ， 用 户 可 以 通过 简单 的 指令 或 Restful API 来 拉 取 、 打 包 、 运 行 和 维 
护 容器 。 这 种 简化 从 根本 上 降低 了 应 用 程序 部 署 的 难度 ， 极 大 地 提高 
了 应 用 运行 时 环境 的 部 署 与 维护 的 效率 。 用 户 可 以 不 依赖 类 似 
Ansible、Chef、Puppet 这 类 的 配置 管理 和 发 布 系统 ， 不 需要 在 部 署 中 
同时 关注 基础 系统 与 软件 的 安装 配置 ， 以 及 应 用 的 安装 调试 。 


Docker 提 供 了 一 种 统一 的 实践 方法 ， 每 个 服务 (或 应 用 ) 维护 一 
个 Dockerfile 文 件 。 即 便 使 用 编排 工具 如 Docker Compose， 一 个 服务 


(或 应 用 ) 也 只 需 维 护 一 个 docker-compose.yml 文 件 。 应 用 程序 及 其 运 
行 时 环境 全 部 打包 到 一 个 简单 易 读 的 Dockerfile 或 Compose 文 件 中 ， 开 
发 团队 和 和 运 维 团队 都 可 以 透明 地 合作 维护 这 个 文件 ， 极 大 降低 了 沟通 
成 本 与 部 署 成 本 ， 极 大 满足 了 人 研发 团队 与 DevOps 团 队 、 运 维 团 队 之 间 
的 沟通 需求 ， 清 晰 划分 了 责任 边界 。 


Docker 正 以 一 种 前 所 未 有 的 方式 让 用 户 可 以 在 各 种 Linux 发 行 版 、 
各 种 开发 环境 中 快速 切换 ， 这 对 应 用 开发 者 来 说 真是 一 种 福 首 。 使 用 
各 种 开发 环境 的 用 户 ， 再 也 不 必 担 心 破坏 主机 的 系统 环境 (如 环境 变 
=) 和 应 用 程序 。 系 统 架 构 师 们 也 可 以 使 用 Docker 来 快速 搭建 各 种 网 
络 架构 的 系统 ， 且 可 以 方便 地 管理 这 些 系统 之 间 的 数据 连接 和 共 译 。 
目前 Docker 发 展 迅 速 ， 基 于 Docker 的 PaaS 平 台 也 层出不穷 。 这 让 技术 
创业 者 无 需 折 腾 服 务 右 部 署 ， 只 需 专注 业务 代码 的 实现 即 可 。 


真正 解决 用 户 痛 点 ， 真 正 带 来 效率 的 提升 ， 是 一 个 产品 和 技术 能 
最 终 成 功 的 天 键 ! 


16.2 ”研发 人 员 该 如 何 看 容 需 


很 多 研发 工程 师 经 常会 问 : 我 是 摘 开 发 的 ， 容 禹 技术 跟 我 有 关 
A? 其 实 ， 笔 者 在 实践 过 程 中 发 现 ， 合 理应 用 容 融 技术 ， 不 光 能 极 大 
提升 开发 效率 ， 也 能 提升 目 身 技术 水 平 。 


1. 快 速 上 手 新 技术 


众所周知 ， 新 技术 的 学 习 往 往 从 学 习 简 单 示 例 (例如 Hello 
World) 开始 。 这 是 学 习 新 知识 的 标准 思路 : 最 小 系统 原则 ， 即 从 变量 
最 少 > 的 最 小 系统 开始 ， 循序 渐进 地 学 习 。 


现实 生活 中 ， 简 单 的 事物 背后 往往 列 含 着 复杂 的 机 制 。 用 户 在 构 
建 最 小 系统 的 时 候 ， 首 先 面 对 的 就 是 其 母 环 境 (或 者 说 前 置 条 件 ) 的 
搭建 。 虽 然 随 着 程序 语言 和 系统 程序 的 发 展 ， 语 言 和 工具 都 设计 得 越 
来 越 方便 。 但 学 习 成 本 仍然 居 高 不 下 ， 各 大 编程 语言 论坛 中 关于 环境 
安装 的 问题 总 是 层出不穷 。 


通过 Docker 的 使 用 ， 用 户 可 以 将 精力 和 注意 力 都 尽快 地 放 在 语言 
本 号 的 学 习 上 ， 而 无 需 折 腾 系 统 环 境 的 各 种 配置 。Docker 官 网 的 口号 
就 包含 了 以 上 含义 : Build, Ship and Run Any App，Anywhere， 即 任 


何 应 用 都 可 以 构建 、 发 布 、 运 行 于 任何 环境 。Docker 将 环境 的 影响 因 
素 降 至 最 低 ， 使 开发 者 能 统一 地 掌控 整个 应 用 的 生命 周期 。 


目前 Docker 官 方 文 持 的 编程 语言 镜像 就 有 十 儿 种 ， 亢 和音 所 有 的 主 
流 编程 语言 的 开发 环境 。 除 此 之 外 ， 常 用 数据 库 、 缓 存 系统 、 主 流 
Web 框 架 等 都 有 官方 的 镜像 。 除 此 之 外 ，Docker Hub 还 提供 了 丰富 的 
第 三 方 镜像 和 Dockerfile 。 


2. 容 需 化 的 代码 仓库 


经 常 整理 和 收集 常用 代码 库 往往 是 软件 工程 师 实 现 高 效 交付 的 “ 秘 
LE 


在 技术 团队 中 ， 为 何 行业 新 人 和 资深 工程 师 之 间 的 生产 力 可 以 有 
几 倍 甚至 几 十 倍 的 差距 昵 ? 暂且 不 论 眼界 思路 和 基础 拉 能 的 差距 ， 同 
样 古 做 一 件 任务 ， 新 人 接手 后 首先 面 对 的 就 古 思 路 和 工具 的 抉择 ， 然 
后 需要 解决 实践 中 的 各 种 “ 坑 ?”。 而 资深 工程 师 接 手 后 ， 可 以 快速 规划 
所 需要 的 资源 ， 并 在 最 短 时 间 内 利用 积累 的 模块 搭建 起 系统 ， 从 而 可 
以 快速 完成 任务 。 


另外 ， 人 研发 过 程 中 的 各 种 发 布 版 本 ， 也 可 以 用 Docker 容 和 希 的 方式 
保存 。 以 后 遇 到 类 似 的 需求 ， 可 以 直接 运行 ， 调 试 并 复 用 代码 。 


3. 面 向 业务 编程 


软件 开发 ， 除 非 是 算法 比赛 ， 在 本 质 上 是 要 能 解决 业务 问题 ， 江 
足 需求 方 的 要 求 。 


最 近 儿 年 ， 各 种 狐 的 技术 和 工具 层出不穷 ， 虽 然 万 变 不 离 其 宗 ， 
但 能 快速 掌握 新 的 业务 需求 和 新 的 技术 栈 ， 是 对 一 个 优秀 技术 人 员 的 


笔者 根据 Docker 的 特性 ， 给 出 一 个 可 行 方案 :使 用 Docker 快 速 掌 
握 新 技术 要 点 并 完成 适当 的 技术 储备 。 假 定 读者 是 Python 技术 栈 的 后 
端 工程 师 ， 熟 悉 常 规 网 站 的 后 台 建 设 ， 那 么 如 何 快 速 实现 移动 应 用 的 
Restful API Sever 呢 ? 读者 可 以 去 Docker Hub 搜 索 适合 做 API 服 务 右 的 
Python 快速 开发 框 狠 ， 根 据 目 身 业 务 需求 修改 Dockerfile， 定 制 符合 要 
求 的 镜像 ， 然 后 快速 局 动 一 套 能 满足 相关 API 的 系统 。 


见 ， 容 器 技术 可 以 帮助 软件 工程 师 更 加 专注 的 面 疝 业 务 需 求 ， 
快速 局 用 新 技能 。 


E 


4. 使 用 Docker Hub 发 布 开 源 项 日 


技术 人 员 从 社区 借鉴 和 学 习 各 种 好 用 的 工具 和 技能 时 ， 也 需要 积 
极 反 馈 于 社区 ， 共 同 营造 一 个 民 好 的 生态 环境 。 


笔者 在 此 建议 : 读者 如 果 参 与 开源 项 目的 建设 ， 那 么 可 以 通过 
Docker 完 成 程序 的 打包 、 测 试 、 发 布 和 部 署 ， 通 过 Docker Hub 来 管理 


和 维护 镜像 。 这 样 可 以 统一 义 清 晰 地 管理 整个 开源 项 目 。 


16.3” 容 如 化 开发 模式 


传统 模式 中 ， 开 发 团队 在 开发 环境 中 完成 软件 开发 ， 本 地 完成 单 
元 测试 ， 测 试 通过 ， 则 可 提交 到 代码 版 本 管理 库 ; 测试 团队 打包 进行 
进一步 测试 。 运 维 团队 把 应 用 部 署 到 测试 环境 ， 开 发 团队 或 测试 团队 
再 次 进行 测试 ， 没 问题 后 通知 部 车 人 员 发 布 到 生产 环境 。 


在 上 述 过 程 中 涉及 三 个 环境 : 开发 、 测 试 和 生产 ， 以 及 三 个 团 
队 : 开发 、 测 试 、 运 维 。 多 个 环境 和 多 个 团队 之 间 的 这 种 交互 ， 很 容 
易 出 现 彼此 环境 不 一 致 的 情况 ， 浪 费 不 必要 的 人 力 物 力 。 


在 容 紫 模式 中 ， 应 用 古 以 容 句 的 形式 存在 ， 所 有 和 该 应 用 相关 的 
依赖 都 会 在 容 郁 中 ， 因 此 移植 非 党 方便， 不 会 存在 像 传统 模式 那样 的 
环境 不 一 致 的 情况 。 


下面 比较 了 两 种 模式 下 的 不 同 流程 ， 如 图 16-1 所 示 。 
1. 操 作 流 程 


在 容 右 化 的 应 用 中 ， 项 目 架构 师 和 开发 人 员 的 作用 贯 罕 整 个 开 
发 、 测 试 、 生 产 三 个 环节 。 


项 目 伊始 ， 架 构 师 根据 项 目 预 期 创建 好 需要 的 基础 base 镜 像 ， 
nginx、tomcat、mysql 镜 像 或 者 将 Dockerfile 分 发 给 所 有 开发 人 员 ， 所 有 


开发 人 员 根 据 Dockerfile 创 建 的 容器 或 者 从 内 部 仓库 下 载 的 镜像 进行 开 
发 ， 达 到 开发 环境 的 充分 一 尾 。 若 开发 过 程 中 需要 添加 新 的 软件 ， 
需要 癌 架 构 师 申请 修改 基础 base 镜 像 的 Dockerfile 即 可 。 


开发 任务 结束 后 ， 架 构 师 调整 Dockerfile 或 者 Docker 镜 像 ， 然 后 分 
发 给 测试 部 门 ， 测 试 部 门 马 上 就 可 以 进行 测试 ， 消 除了 部 署 困难 等 难 
缠 的 问题 o 


开发 部 门 提供 应 用 
镜像 


测试 部 门 进行 测试 


测试 部 门 进 行 测试 


cnp et 


a) 传统 开发 流程 b) 容器 化 开发 流程 


图 16-1 传统 模式 vs 容器 模式 下 的 工作 流程 比较 


2. 场 景 示 例 


假定 对 于 一 个 200 人 左右 的 软件 企业 ， 主 要 使 用 Java 作 为 开发 语 
言 ， 使 用 Tomcat、Weblogic 作 为 中 间 件 服务 絮 ， 后 台数 据 库 使 用 


Oracle、MySQL 等 。 


在 应 用 容 絮 之 前 ， 开 发 到 测试 的 流程 如 图 16-2 所 示 。 


可 见 ， 就 古 因为 环境 的 不 一 样 ， 开 发 、 测 试 、 运 维 三 个 部 门 做 了 
很 多 重复 的 工作 。 


而 容 右 正好 可 以 解决 这 个 问题 ， 大 大 人 简化 了 工作 流程 ， 如 图 16-3 所 


3. 注 意 事项 


首先 ， 在 开发 和 测试 环境 中 ， 推 荐 使 用 -v 共 至 文件 夹 来 存储 开发 人 
员 的 程序 代码 ， 避 人 免 频 繁 打包 操作 。 


其 次 ， 利 用 基础 base 镜 像 的 继承 特性 来 调整 镜像 的 轻微 变更 。 例 如 
当 需 要 测试 程序 对 不 同 版 本 JDK 的 支持 情况 时 ， 只 需 改 变 base 镜 像 的 
JDK 设 置 ， 然 后 其 他 依赖 它 的 镜像 在 重新 创建 的 过 程 中 就 可 以 自动 完成 
更 新 。 


最 后 ， 测 试 部 门 应 当 注 意 Docker 以 及 镜像 的 版 本 ， 并 经 常 对 部 署 
后 的 应 用 程序 进行 性 能 上 的 测试 。 


E 
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图 16-3 ”利用 容器 环境 开发 的 流程 


16.4 容 需 与 生产 环境 


不 同 的 产品 技术 团队 对 生产 环境 可 能 有 不 同 的 解读 。 在 这 里 ， 生 
产 环境 是 指 企业 运行 其 商业 应 用 的 IT 环境 ， 是 相对 于 开发 环境 、 预 发 
布 环境 和 测试 环境 而 言 的 。 


在 生产 环境 中 ， 容 器 既 可 以 作为 API 后 端 服务 器 ， 也 可 以 作为 业 
务 应 用 的 Web 服 务 器 ， 还 可 以 作为 微服 务 中 的 服务 证 点。 但 是 不 管用 
尸 将 容 右 用 于 哪 种 场景 ， 在 生产 环境 中 运行 容 右 与 其 他 环境 相 比 ， 在 
安全 性 与 稳定 性 等 方面 都 存在 更 高 要 求 。 


Docker 算 是 IT 生 产 环境 与 基础 设施 的 新 成 员 。 近 些 年 ，Docker 在 
DevOps 和 基础 设施 领域 中 快速 风靡 起 来 。Google、IBM、Amazon、 
Microsoft， 以 及 几乎 所 有 云 计算 供应 商都 宣布 支持 Docker。 很 多 容器 
领域 中 的 创业 公司 都 在 2014 年 或 2015 年 初 获 得 了 风险 投资 。 同 时 ， 
Docker 公 司 在 2015 年 的 估 值 也 达到 了 10 亿 美元 。 


尽管 Docker 获 得 广大 公有 云 厂 商 的 大 力 文 持 ， 但 是 目前 容器 技术 
生态 中 已 经 存在 许多 分 文 与 分 上 收 ， 如 rkt 项 目 。 为 了 解决 容器 生态 中 的 
差异 化 问题 ,为 了 从 根本 上 解决 生产 环境 中 运用 Docker 的 风险 ， 
Google ` Intel ` Microsoft ` IBM ` Amazon ` VMware ^ Oracle ^ HPE ^ 


Facebook 等 IT 巨头 于 2015 年 6 月 共同 宣布 成 立 OCI (Open Container 


Initiative) 组 织 !。OCI 组 织 的 目标 在 于 建立 通用 的 容器 技术 标准 。 除 
了 保障 与 延续 既 有 容器 服务 的 生命 周期 外 ， 还 通过 不 断 推出 标准 的 创 
新 的 容器 解决 方案 赋 能 开发 者 。 而 OCI 成 员 企业 也 会 秉持 开放 、 安 

` 弹性 等 核心 价值 观 来 发 展 容器 生态 。 客 观 而 言 ，OCI 组 织 的 出 现 
确立 了 容 如 技术 的 标准 ， 避 人 免 容 絮 技术 被 单一 厂商 垄断 。 统 一 拉 术 标 
准 后 ， 广 大 企业 不 用 担心 未 来 新 兴 的 容器 技术 不 兼容 Docker 。 


2016 年 开始 ， 大 量 企业 的 应 用 开始 云 化 ， 部 分 已 经 云 化 的 企业 ， 
开始 实施 全 面容 器 化 和 微服 务 化 。 不 过 ， 用 户 不 应 该 把 容 右 当做 “ 银 
弹 ”， 并 不 是 所 有 应 用 和 服务 都 适合 容器 化 。 对 于 “12 要 素 ”"| 类 型 应 
用 ， 容 器 化 是 非常 容易 和 平滑 的 。 因 为 这 些 应 用 是 无 状态 的 ， 而 且 它 
们 在 微服 务 以 构 中 可 以 在 很 短 时 间 内 完成 后 停 ， 高 度 保 证 了 整个 服务 
的 可 用 性 。 传 统 数 据 库 或 有 状态 应 用 、 对 网 络 吞 吐 性 能 有 高 要 求 的 应 
用 并 不 适合 容器 化 。 


可 以 说 ， 绝 大 部 分 的 分 层 架 构 的 企业 架构 ， 痢 可 以 平滑 地 在 生产 
环境 中 容器 化 。 而 绝 大 部 分 完成 容 絮 化 的 企业 架构 ， 部 可 以 通过 代码 
重 构 完 成 微服 务 化 ， 这 样 可 以 从 服务 层面 进一步 提高 可 用 性 ， 进 一 步 
降低 IT 固 定 成 本 。 降 低 持 续集 成 与 部 署 成 本 。 


现在 越 来 越 多 的 企业 正在 生产 环境 中 使 用 Docker，Docker 镜 像 下 
载 量 在 2014 年 12 月 是 6700 万 ， 一 年 后 ， 镜 像 下 载 量 上 升 到 了 12 亿 。 最 
近 某 容器 服务 的 研究 显示 ， 八 成 的 IT 从 业者 了 解 和 接触 过 Docker， 四 


成 的 组 织 目前 正在 生产 环境 中 使 用 Docker， 预 计 这 个 比例 会 在 未 来 两 
年 内 还 会 继续 上 升 。 


在 生产 环境 中 使 用 容 郁 时 ， 需 要 考虑 儿 个 问题 ， 下 面 的 建议 供 大 
家 参考 : 


如 采 Docker 出 现 不 可 探 的 风险 ， 有 是 否 考虑 了 备 选 的 解决 方案 ; 


:是 否 需 要 对 Docker 容 大 做 资源 限制 ， 以 及 如 何 限制 ， 如 CPU、 内 
存 、 网 络 、 磁 一 等 ; 


目前 ，Docker 对 容 釉 的 安全 管理 做 得 不 够 完善 ， 在 应 用 到 生产 环 
境 之 前 可 以 使 用 第 三 方 工具 来 加 强 容积 的 安全 管理 。 如 使 用 apparmor 
对 容器 的 能 力 进行 限制 、 使 用 更 加 严格 的 iptable 规 则 、 茜 止 root 用 户 登 
录 、 限 制 普 通用 户 权限 以 及 做 好 系统 日 志 的 记录 ; 


公司 内 部 私有 仓库 的 管理 、 镜 像 的 管理 问题 是 否 解 决 。 目 前 官方 
提供 的 私有 仓库 管理 工具 功能 并 不 十 分 完善 ， 若 在 生产 环境 中 使 用 还 
需要 更 多 的 工作 。 


[1] OCI 组 织 官网 : https://www.opencontainers.org/ 
[2] 12 Factor App: https://12factor.net/， 本 书后 面 第 28 章 也 介绍 了 这 
概念 。 


> 


16.5 ”本章 小 结 


本 章 主 要 介绍 了 在 实战 中 使 用 容器 技术 的 一 些 思 考 。 信 息 技术 行 
业 是 前 所 未 有 的 一 个 快速 变革 的 行业 ， 极 其 注重 效率 和 可 靠 性 。 一 直 
以 来 ， 产 品 人 研发 流程 中 最 让 人 头痛 的 一 点 束 是 研发 周期 管理 。 无 论 是 
传统 模式 还 是 快速 迭代 、 瀑 布 尝 ， 部 需要 有 完善 的 代码 周期 支持 。 容 
絮 化 双 无 疑问 地 兆 合 了 这 一 需求 ， 为 产品 研发 市 来 了 生产 力 的 提升 。 


笔者 认为 ， 目 容器 之 后 ， 信 息 产 业 将 会 上 升 到 一 个 更 高 的 阶段 ， 
更 多 的 生产 力 将 被 解放 去 攻克 核心 的 技术 问题 。 在 这 个 过 程 中 ， 技 术 
人 员 要 主动 拥抱 变化 ， 早 日 掌握 新 时 代 的 工作 模式 和 核心 技能 。 


.第 17 章 ”Docker 核 心 实现 技术 


-第 18 草 ”配置 私有 仓库 


:第 19 章 ”安全 防护 与 配置 


第 20 革 ”高 级 网 络 功 能 


.第 21 章 libnetwork 插 件 化 网 络 功能 


经 过 前 两 部 分 的 详细 讲解 和 案例 实践 ， 相 信 读 者 已 经 熟练 掌握 了 
Docker 相 关 的 第 见 操作 和 应 用 技巧 。 但 要 想 在 实践 中 灵活 运用 ， 还 需 
要 大 量 的 练习 。 


那么 ，Docker 是 如 何 实现 的 ? 它 目前 有 何 问 题 ? 它 的 技术 生态 环 
境 钙 否 已 经 成 长 起 来 了 ? 接 下 来 ， 笔 者 将 在 第 三 部 分 介绍 Docker 相 天 
M ZN 


第 17 划 介绍 Docker 的 核心 实现 技术 ， 包 括 架 构 、 命 名 空间 、 控 制 
组 、 联 合 文件 系统 、 虚 拟 网 络 等 技术 话题 。 


第 18 章 介绍 使 用 Docker Registry 来 创建 和 管理 私有 的 镜像 仓库 。 


第 19 章 从 命名 空间 、 欣 制 组 、 内 核能 力 、 服 务 端 、 第 三 方 工具 等 
角度 来 剖析 保障 Docker 安 全 的 相关 手段 。 

第 20 章 具体 讲解 Docker 使 用 网 络 的 一 些 高 级 配置 等 ， 并 分 析 故 层 
实现 的 技术 过 程 。 


最 后 ， 在 第 21 章 笔者 还 将 介绍 Docker 强 大 的 插件 化 网 络 支 持 - 
libnetwork， 支 持 更 多 的 网 络 应 用 场景 。 


第 17 草 ”Docker 核 心 实 现 技 术 


作为 一 种 容器 虚拟 化 技术 ，Docker 深 度 应 用 了 操作 系统 的 多 项 底 
层 文 持 技术 。 


早期 版 本 的 Docker 是 基于 已 经 成 熟 的 Linux Container (LXC) 技术 
实现 的 。 目 Docker 0.9 版 本 起 ，Docker 逐 渐 从 LXC 转 移 到 新 的 
libcontainer (https://github.com/docker/libcontainer) 上 ， 并 且 积 极 推动 
开放 容器 规范 runc， 试 图 打造 更 通用 的 底层 容 禹 虚拟 化 库 。 


从 操作 系统 功能 上 看 ， 目 前 Docker 底 层 依赖 的 核心 技术 主要 包括 
Linux 操 作 系 统 的 命名 空间 (Namespace) 、 控 制 组 (Control 
Group) 、 联 合 文件 系统 (Union File System) 和 Linux 网 络 虚拟 化 支 


持 。 本 章 将 介绍 这 些 核心 技术 的 实现 。 


17.1 基本 架构 


Docker 目 前 采用 了 标准 的 C/S 架 构 ， 如 图 17-1 所 示 。 客 户 端 和 服务 
疹 既 可 以 运行 在 一 个 机 器 上 ， 也 可 运行 在 不 同 机 器 上 通过 socket 或 者 
RESTful API 来 进行 通信 。 
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17-1 Docker 采 用 了 C/S 架 构 


1. 服 务 端 


Docker Daemon 一 般 在 答 主 主机 后 合 运行， 作为 服务 端 接 受 来 日 客 
户 的 请 求 ， 并 处 理 这 些 请 求 创建、 运行 、 分 发 容器 ) 。 


在 设计 上 ，Docker Daemon 是 一 个 模块 化 的 架构 ， 通 过 专门 的 
Engine 模 块 来 分 发 管理 各 个 来 目 客 户 端的 任务 。 


Docker 服 务 端 默认 监听 本 地 的 unix:/varrun/docker.sock 套 接 字 ， 只 
人 允许 本 地 的 root 用 户 或 docker 用 户 组 成 员 访 问 。 可 以 通过 -H 选 项 来 修改 
监听 的 方式 。 


例如 ， 让 服务 端 监 听 本 地 的 TCP 连 接 1234 端 口 ， 如 下 所 示 : 


$ docker daemon -H 0.0.0.0:1234 

WARN[0000] /!N DON'T BIND ON ANY IP ADDRESS WITHOUT setting -tlsverify IF YOU 
DON'T KNOW WHAT YOU'RE DOING /!\ 

INFO[0000] New containerd process, pid: 22385 

INFO[0001] [graphdriver] using prior storage driver "aufs" 

INFO[0001] Graph migration to content-addressability took 0.00 seconds 

INFO[0001] Firewalld running: false 

INFO[0001] Default bridge (dockerO) is assigned with an IP address 172.17.0.0/16. 
Daemon option --bip can be used to set a preferred IP address 

WARN[0002] Your kernel does not support swap memory limit. 

WARN[0002] mountpoint for pids not found 

INFO[0002] Loading containers: start. 


此 外 ，Docker 还 支持 通过 HTTPS 认 证 方式 来 验证 访问 。 


Qux 


Debian/Ubuntu 14.04 等 使 用 upstart 管 理 启动 服务 的 系统 中 ，Docker 
服务 端的 默认 启动 配置 文件 在 /etc/default/docker。 对 于 使 用 systemd 管 理 
局 动 服务 的 系统 ， 配 置 文 件 


在 /etc/systemd/system/docker.service.d/docker.conf ° 


Docker 客 户 问 为 用 户 提 供 一 系列 可 执行 合 令 ， 用 户 用 这 些 命令 与 


Docker Daemon% Ę. ° 


用 户 使 用 的 Docker 可 执行 命令 即 为 客户 端 程序 。 与 Docker Daemon 
不 同 的 是 ， 客 户 端 发 送 命令 后 ， 等 竺 服务 端 返 回 ， 一 旦 收 到 返回 后 ， 
客户 端 立 刻 执行 结束 并 退出 。 用 户 执行 新 的 命令 ， 需 要 再 次 调用 客户 


WAA 
T 


SF 


同样 ， 客 户 端 默认 通过 本 地 的 unix://varrun/docker.sock 寡 接 字 回 服 
务 端 发 送 命 令 。 如 果 服 务 端 没 有 监听 在 默认 的 地 址 ， 则 需要 客户 端 在 
执行 命令 的 时 候 显 式 指定 服务 端 地 址 。 


例如 ， 假 定 服务 端 监听 在 本 地 的 TCP 连 接 1234 端 口 tcp:/127.0.0.1: 
1234， 只 有 通过 -H 参 数 指定 了 正确 的 地 址 信息 才能 连接 到 服务 端 ， 如 
下 所 示 : 


N 


$ docker version 


Client: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 


Cannot connect to the Docker daemon. Is the docker daemon running on this host? 
$ docker -H tcp://127.0.0.1:1234 version 


Client: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 
Server: 
Version: 1.12.0 


API version: 1.24 
Go version: go1.6.3 


Git commit : 8eab29e 


Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 
3. 新 的 架构 设计 


应 该 说 ，C/S 染 构 给 Docker 基 本 功能 的 实现 市 来 了 许多 便利 ， 但 同 
时 也 引入 了 一 些 限制 。 


读者 朋友 们 可 能 发 现 ， 使 用 Docker 时 ， 必 须要 启动 并 保持 Docker 
Daemon 的 正常 运行 ， 它 既 要 管理 容 怖 的 运行 时 ， 又 要 负责 提供 对 外 部 


API 的 啊 应 。 而 一 旦 Docker Daemon 服 务 不 正常 ， 则 已 经 运行 在 Docker 
主机 上 的 容器 也 往往 无 法 继续 使 用 。 


Docker 团 队 已 经 意识 到 了 这 个 问题 ， 在 较 新 的 版 本 (1.11.0+) 
中 ， 开 始 将 维护 容 絮 运行 的 任务 放 到 一 个 单独 的 组 件 containerd 中 来 管 
理 ， 并 且 文 持 OCI 的 rnc 规范。 原先 的 对 客户 疾 API 的 支持 则 仍然 放 在 
Docker Daemon， 通 过 解 籼 ， 大 大 减少 了 对 Docker Daemon 的 依赖 。 


同时 ， 新 的 架构 提高 了 启动 容器 的 速度 ， 一 项 测试 表明 ， 可 以 达 
到 每 秒 启动 超过 100 个 容器 。 


17.2 ”命名 空间 


命名 空间 (namespace) 是 Linux 内 核 的 一 个 强大 特性 ， 为 容器 虚拟 
化 的 实现 带 来 极 大 便利 。 


利用 这 一 特性 ， 每 个 容器 部 可 以 拥有 目 己 单独 的 命名 空间 ， 运 行 
在 其 中 的 应 用 都 像 是 在 独立 的 操作 系统 环境 中 一 样 。 命 名 空间 机 制 保 
证 了 容 紫 之 间 彼 此 互 不 影响。 


在 操作 系统 中 ， 包 括 内 核 、 文 件 系统 、 网 络 、PID、UID、IPC、 
内 存 、 硬 盘 、CPU 等 资源 ， 所 有 的 资源 都 是 应 用 进程 直接 共享 的 。 要 
想 实 现 虚 拟 化 ， 除 了 要 实现 对 内 存 、CPU、 网 络 IO、 人 硬盘 IO、 存 储 至 
间 等 的 限制 外 ， 还 要 实现 文件 系统 、 网 络 、PID、UID、IPC 等 的 相互 
隔离 。 前 者 相对 容易 实现 一 些 ， 后 者 则 需要 和 窒 主 主机 系统 的 深入 支 


持 。 


随 着 Linux 系 统 对 于 命名 空间 功能 的 逐步 完善 ， 现 在 已 经 可 以 实现 
这 些 需求 ， 让 进程 在 彼此 隔离 的 命名 空间 中 和 运行。 虽然 这 些 进程 仍 在 
共用 同一 个 内 核 和 某 些 运行 时 环境 (runtime， 例 如 一 些 系 统 命 令 和 系 
统 库 ) ， 但 是 彼此 是 不 可 见 的 ， 并 且 认 为 自己 是 独占 系统 的 。 


1. 进 程 命名 空间 


Linux 通 过 命名 空间 管理 进程 号 ， 对 于 同一 进程 ( 即 同一 个 
task struc. ， 在 不 同 的 命名 空间 中 ， 看 到 的 进程 号 不 相同 ， 每 个 进程 
命名 空间 有 一 套 自 己 的 进程 号 管理 方法 。 进 程 命 名 空间 是 一 个 父子 天 
系 的 结构 ， 子 空间 中 的 进程 对 于 父 空间 是 可 见 的 。 新 fork 出 的 进程 在 父 
命名 空间 和 子 命 名 空间 将 分 别 有 一 个 进程 号 来 对 应 。 


例如 ， 查 看 Docker 主 进程 的 pid 进 程 号 是 5989， 如 下 所 未: 


$ ps -ef |grep docker 
root 5989 5988 © 14:38 pts/6 00:00:00 docker -d 


新 建 一 个 Ubuntu 的 “hello world" R: 


$ docker run -d ubuntu:14.04 /bin/sh -c "while true; do echo hello world; 
sleep 1; done" 
ec559327572b5bf99d0f80b98ed3a3b62023844c7fdbea3f8caed4Affa5c62e86 


查看 新 建 容 器 进程 的 父 进程 ， 正 是 Docker 主 进程 5989: 


$ ps -ef |grep while 
root 6126 5989 0 14:41 ? 00:00:00 /bin/sh -c while true; do echo 
hello world; sleep 1; done 


2. 网 络 命名 空间 


如 果 有 了 pid 命 名 空间 ， 那 么 每 个 命名 空间 中 的 进程 就 可 以 相互 隔 
离 ， 但 是 网 络 端口 还 是 共享 本 地 系统 的 端口 。 


通过 网 络 命名 空间 ， 可 以 实现 网 络 隔离 。 网 络 命 名 空间 为 进程 提 
供 了 一 个 完全 独立 的 网 络 协议 栈 的 视图 ， 包 括 网 络 设备 接口 、IPv4 和 
IPV6 协 议 栈 、IP 路 由 表 、 防 火 墙 规则 、sockets 等 ， 这 样 每 个 容器 的 网 络 
就 能 隔离 开 来 。Docker 采 用 虚拟 网 络 设备 (Virtual Network Device) 的 
方式 ， 将 不 同 命名 空间 的 网 络 设备 连接 到 一 起 。 默 认 情 况 下 ， 容 器 中 
的 虚拟 网 卡 将 同 本 地 主机 上 的 docker0 网 桥 连 接 在 一 起 ， 如 图 17-2 所 


修 ° 


容 船 名 字 空 间 


图 17-2 ”网 络 命名 空间 


使 用 brctl 工 具 可 以 看 到 桥接 到 答 主 主机 docker0 网 桥 上 的 虚拟 网 


$ brctl show 


bridge name bridge id STP enabled interfaces 
dockero 8000.56847afe9799 no veth4148 
vethd166 
vethd533 
3.IPC 命 名 空间 


容器 中 进程 交互 还 是 采用 了 Linux 常 见 的 进程 间 交 互 方法 
(Interprocess Communication，IPC) ， 包 括 信 号 量 、 消 息 队 列 和 共享 
内 存 等 。PID Namespace 和 IPC Namespace 可 以 组 合 起 来 一 起 使 用 ， 同 一 
个 IPC 命 名 空间 内 的 进程 可 以 彼此 可 见 ， 人 允许 进行 交互 ;不同 空间 的 进 
程 则 无 法 交互 。 


4. 挂 载 命 名 空间 


类 似 于 chroot， 将 一 个 进程 放 到 一 个 特定 的 目 邓 执行 。 挂 载 命 名 空 
间 人 允许 不 同 命名 空间 的 进程 看 到 的 文件 结构 不 同 ， 这 样 每 个 命名 空间 
中 的 进程 所 看 到 的 文件 目录 彼此 被 隔离 。 


5.UTS 命 名 空间 


UTS (UNIX Time-sharing System) 命名 空间 允许 每 个 容器 拥有 独 
立 的 主机 名 和 域名 ， 从 而 可 以 虚拟 出 一 个 有 独立 主机 名 和 网 络 空 间 的 
环境 ， 就 跟 网 络 上 一 台独 立 的 主机 一 样 。 


默认 情况 下 ，Docker 容 磊 的 主机 名 束 是 返回 的 容 右 ID: 


$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ec559327572b ubuntu:14.04 /bin/sh -c 'while tr 18 minutes ago 
Up 18 minutes furious. goodall 
$ docker inspect -f {{".Config.Hostname"}} ec5 
ec559327572b 


6. 用 户 命名 空间 

每 个 容器 可 以 有 不 同 的 用 户 和 组 id， 也 就 是 说 可 以 在 容器 内 使 用 特 
定 的 内 部 用 户 执行 程序 ， 而 非 本 地 系统 上 存在 的 用 户 。 

每 个 容器 内 部 都 可 以 有 root 帐 号 ， 但 跟 宿 主 主机 不 在 一 个 命名 空 
间 。 

通过 使 用 隔离 的 用 户 命名 空间 可 以 提高 安全 性 ， 避 免 容器 内 进程 
获取 到 额外 的 权限 。 


17.3 控制 组 


有 


控制 组 (CGroups) 是 Linux 内 核 的 一 个 特性 ， 主 要 用 来 对 共享 
源 进 行 隔离 、 限 制 、 审 计 等 。 能 控制 分 配 到 容 怖 的 资源 ， 才 能 过 
人 免 多 个 容器 同时 运行 时 对 答 主 机 系统 的 资源 苋 争 。 


E 


控制 组 技术 最 早 是 由 Google 的 程序 员 2006 年 起 提出 ，Linux 内 核 自 

6.24 开 始 原生 支持 。 控 制 组 可 以 提供 对 容器 的 内 存 、CPU、 人 磁盘 IO 等 
资源 进行 限制 和 计 费 管理 。 控 制 组 的 设计 目标 是 为 不 同 的 应 用 情况 提 
供 统一 的 接口 ， 从 控制 单一 进程 (比如 nice 工 具 ) 到 系统 级 虚拟 化 
(包括 OpenVZ、Linux-VServer、LXC 等 ) 。 


具体 来 看 ， 控 制 组 提供 : 


:资源 限制 (Resource limiting) : 可 以 将 组 设置 为 不 超过 设 定 的 内 
存 限制 。 比 如 : 内 存 子 系统 可 以 为 进程 组 设 定 一 个 内 存 使 用 上 限 ， 一 
旦 进程 组 使 用 的 内 存 达到 限额 再 申请 内 存 ， 就 会 出 发 Out of Memory 警 


TER 


.优先 级 (Prioritization) : 通过 优先 级 让 一 些 组 优先 得 到 更 多 的 
CPU 等 资源 。 


:资源 审计 (Accounting) : 用 来 统计 系统 实际 上 把 多 少 资源 用 到 
适合 的 目的 上 ， 可 以 使 用 cpuacct 子 系统 记录 某 个 进程 组 使 用 的 CPU 时 
|R] o 


.隔离 (isolation) : 为 组 隔离 命名 空间 ， 这 样 一 个 组 不 会 看 到 男 
一 个 组 的 进程 、 网 络 连接 和 文件 系统 。 


-控制 (Contro) : 挂 起 、 恢 复 和 重启 动 等 操作 。 


安装 Docker 后 ， 用 户 可 以 在 /sys/fs/cgroup/memory/docker 目 孙 下 看 
到 对 Docker 组 应 用 的 各 种 限制 项 ， 包 括 : 


$ cd /sys/fs/cgroup/memory/docker 
$ 1s 
1b3591fb9451d11292f2ce074d786f46fa68b37d1c483c241c63d69ab4335a50 
memory.kmem.limit in bytes memory.limit in bytes 
memory.swappiness 
6caci1e322cb8fd185b8ee5d60e049b2b5d86c6a51b7457523b368f025fe57b2c 
memory.kmem.max usage in bytes memory.max usage in bytes 
memory.usage in bytes 
cgroup.clone children 
memory.kmem.slabinfo memory.move charge at immigrate 
memory.use hierarchy 
cgroup.event control 
memory.kmem.tcp.failcnt memory.numa stat 
notify on release 
cgroup.procs 
memory.kmem.tcp.limit in bytes memory.oom control 
tasks 
memory.failcnt 
memory.kmem.tcp.max usage in bytes memory.pressure level 
memory.force empty 


memory.kmem.tcp.usage in bytes memory.soft limit in bytes 
memory.kmem.failcnt 
memory.kmem.usage in bytes memory.stat 


用 户 可 以 通过 修改 这 些 文件 值 来 控制 组 限制 Docker 应 用 资源 。 例 
如 ， 通 过 下 面 的 命令 可 限制 Docker 组 中 所 有 进程 使 用 的 物理 内 存 总 量 


不 超过 100MB: 


$ sudo echo 104857600 »/sys/fs/cgroup/memory/docker/memory.limit in bytes 


进入 对 应 的 容器 文件 夹 ， 可 以 看 到 对 应 容 右 的 一 些 状态 : 


$ cd 42352bb6c1d1c5c411be8fa04e97842da87d14623495189c4d865dfc444d12ae/ 
$ 1s 


cgroup.clone children memory.max_usage_in_bytes memory.stat 
cgroup.event control memory.move charge at immigrate  memory.swappiness 
cgroup.procs memory.numa stat memory.usage in bytes 
memory.failcnt memory.oom control memory.use hierarchy 
memory.force empty memory.pressure level notify on release 
memory.limit in bytes  memory.soft limit in bytes tasks 


$ cat memory.stat 

cache 110592 

rss 107286528 

rss huge 16777216 

mapped file 0 

writeback 0 

pgpgin 74766 

pgpgout 52634 

pgfault 115722 

pgmajfault © 

inactive anon 12288 
active anon 107384832 
inactive file 0 

active file 0 

unevictable 0 
hierarchical memory limit 18446744073709551615 
total cache 110592 

total rss 107286528 
total rss huge 16777216 
total mapped file 0 

total writeback 0 

total pgpgin 74766 

total pgpgout 52634 

total pgfault 115722 
total pgmajfault © 

total inactive anon 12288 
total active anon 107384832 
total inactive file 0 
total active file 0 

total unevictable 0 


Qus 


可 以 在 创建 或 启动 容器 时 为 每 个 容器 指定 资源 的 限制 ， 例 如 使 用 - 
c|--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ， 使 用 -ml-- 
memory[-MEMORY ]2 SIDE T3 RE E88 [6 Hd VERRE IN e 


17.4 ”联合 文件 系统 


联合 文件 系统 (UnionFS) 是 一 种 轻 量 级 的 高 性 能 分 层 文件 系统 ， 
它 文 持 将 文件 系统 中 的 修改 信息 作为 一 次 提交 ， 并 层 层 登 加， 同时 可 
以 将 不 同 目录 挂 载 到 同一 个 虚拟 文件 系统 下 ， 应 用 看 到 的 是 挂 载 鸭 最 


终结 果 。 


联合 文件 系统 是 实现 Docker 镜 像 的 技术 基础 。Docker 镜 像 可 以 通过 
分 层 来 进行 继承 。 例 如 ， 用 户 基 于 基础 镜像 (用 来 生成 其 他 镜像 的 基 
础 ， 往 往 没 有 父 镜像 ， 来 制作 各 种 不 同 的 应 用 镜像 。 这 些 镜像 共享 同 
个 基础 镜像 层 ， 提 高 了 存储 效率 。 此 外 ， 当 用 户 改 变 了 一 个 Docker 
镜像 (比如 升级 程序 到 新 的 版 本 ) ， 则 会 创建 一 个 新 的 层 (layer) 。 
因此 ， 用 户 不 用 替换 整个 原 镜像 或 者 重新 建立 ， 只 需要 添加 新 层 即 
可 。 用 户 分 发 镜像 的 时 候 ， 也 只 需要 分 发 被 改动 的 新 层 内 容 ( 增 量 部 


分 ) 。 这 让 Docker 的 镜像 管理 变 得 十 分 轻 量 级 和 快速 。 


1.Docker 存 储 


Docker 目 前 通过 插件 化 方式 文 拧 多 种 文件 系统 后 端 。 
Debian/Ubuntu 上 成 熟 的 AUFS (Another Union File System， 或 v2 版 本 往 
后 的 Advanced Multilayered Unification File System) ， 就 是 一 种 联合 文 
件 系 统 实现 ， 如 图 17-3 所 示 。AUFS 文 持 为 每 一 个 成 员 目 录 (类 似 Git 的 


分 支 ) 设 定 只 读 (readonly) 、 读 写 (readwrite) 或 写 出 (whiteout- 
able) 权限 ， 同 时 AUFS 里 有 一 个 类 似 分 层 的 概念 ， 对 只 读 权 限 的 分 文 
可 以 在 逻辑 上 进行 增 量 地 修改 (不 影响 只 读 部 分 的 ) 。 


图 17-3 AUFS 文 件 系统 


Docker 镜 像 自身 就 是 由 多 个 文件 层 组 成 ， 每 一 层 有 唯一 的 编号 
(EID) 。 


可 以 通过 docker history 查 看 一 个 镜像 由 哪些 层 组 成 。 例 如 查看 
ubuntu: 14.04 镜 像 由 4 层 组 成 ， 每 层 执行 了 不 同 的 命令 : 


$ docker history ubuntu:14.04 

IMAGE CREATED CREATED BY SIZE COMMENT 

2a274e3405ec 13 months ago /bin/sh -c #(nop) CMD ["/bin/bash"] 0 B 
df697c8bibf4 13 months ago /bin/sh -c sed -i 's/^£Ns*N(deb.*universeWN)$/ 1.895 


kB 
371166fb96e0 13 months ago /bin/sh -c echo '£!/bin/sh' > /usr/sbin/polic 194.5 
kB 
69191ca023af 13 months ago /bin/sh -c Z(nop) ADD file:c8f078961a543cdefa 188.1 
MB 


对 于 Docker 镜 像 来 说 ， 这 些 层 的 内 容 都 是 不 可 修改 的 、 只 读 的 。 
而 当 Docker 利 用 镜像 局 动 一 个 容 右 时 ， 将 在 镜像 文件 系统 的 最 顶端 再 
挂 载 一 个 新 的 可 读 写 的 层 给 容器 。 容 器 中 的 内 容 更 新 将 会 发 生 在 可 读 
。 当 所 操作 对 象 位 于 较 深 的 某 层 时 ， 需 要 先 复 制 到 最 上 层 的 可 读 
写 层 。 当 数据 对 象 较 大 时 ， 往 往 意 味 着 IO 性 能 较 差 。 因 此 ， 一 般 推荐 
将 容 紫 修改 的 数据 通过 volume 方 式 挂 载 ， 而 不 是 直接 修改 镜像 内 数 
据 。 


A 
Nil 


ESN, NITE F Docker Aar AR P. RAION fét 
将 十 分 关键 。 


具体 看 ，Docker 所 有 的 存储 都 在 Docker 目 永 下 ， 以 Ubuntu 系统 头 
例 ， 默 认 路 径 是 /vavlib/docker ° 


在 这 个 目录 下 面 ， 存 储 由 Docker 镜 像 和 容器 运行 相关 的 文件 和 目 
录 ， 可 能 包括 aufs ^ containers ` graph ` image ` init ` linkgraph.db ` 
network、repositories-aufs、swarm、tmp、trust、volumes 等 。 其 中 ， 最 
关键 的 就 是 aufs 目 录 ， 这 是 aufs 文 件 系 统 所 在 ， 保 存 Docker 镜 像 相关 数 
据 和 信息 。 该 目录 该 目录 包括 layers、diff 和 mnt 三 个 子 目 录 。1.9 版 本 和 
之 前 的 版 本 中 ， 命 名 跟 镜 像 层 的 ID 是 匹配 的 ， 而 自 1.10 开 始 ， 层 数据 相 
关 的 文件 和 目录 名 与 层 ID 不 再 匹配 。 


layers 子 目录 包含 层 属性 文件 ， 用 来 保存 各 个 镜像 层 的 元 数据 ， 蘑 
镜像 的 某 层 下 面包 括 哪些 层 。 例 如 ， 某 镜像 由 5 层 组 成 ， 则 文件 内 容 应 
该 如 下 ， 


# cat 
aufs/layers/78f4601eee00b1f770b1aecf5b6433635b99caa5c11b8858dd6c8cec03b4584f -init 
d2aO0ecffe6fa4ef3de9646a75cc629bbd9da7eead7f767cb810f9808d6b3ecb6 
29460ac934423a55802fcad24856827050697b4a9f 33550bd93c82762fb6db8f 
b670fbOc7ecd3d2c4AO01fbfdifa4d7a872fbada0a4b8c2516d0be18911c6b25d6 
83e4dde6b9cfddf46b75a07ec8d65ad87a748b98cf27de7d5b3298c4f3455ae4 

4 cat aufs/layers/d2aO0ecffe6fa4ef3de9646a75cc629bbd9da7eead7f767cb810f9808d6b3ecb6 
29460ac934423a55802fcad24856827050697b4a9f 33550bd93c82762fb6db8f 
b670fbOc7ecd3d2c4AO01fbfdifa4d7a872fbada0a4b8c2516d0be18911c6b25d6 
83e4dde6b9cfddf46b75a07ec8d65ad87a748b98cf27de7d5b3298c4f3455ae4 


diff 子 目录 包含 层 内 容 子 目录 ， 用 来 保存 所 有 镜像 层 的 内 容 数 据 。 
例如 : 


# ls aufs/diff/78f4601eee00b1f770b1aecf5b6433635b99caa5c11b8858dd6c8cec03b4584f - 
init/ 
dev etc 


mnt 子 目 未 下面 的 子 目 永生 各 个 容 甫 最终 的 挂 载 点 ， 所 有 相关 的 
AUFS 层 在 这 里 挂 载 到 一 起 ， 形 成 最 终 效 果 。 一 个 运行 中 容器 的 根 文 件 
系统 束 挂 载 在 这 下 面 的 于 目录 上 。 同样，1.10 版 本 之 前 的 Docker 中 ， 于 
目录 名 和 容 章 ID 古 一 怪 的 。 其 中 ， 还 包括 容 右 的 元 数据 、 配 置 文件 和 


运行 日 志 等 。 


2. 多 种 文件 系统 比较 


Docker 目 前 文 持 的 联合 文件 系统 种 类 包括 AUFS、OverlayFS、 
btrfs、vfs、zfs 和 Device Mapper 等 。 各 种 文件 系统 目前 的 文 持 情 况 如 
下 : 


.AUFS: 最 早 文 持 的 文件 系统 ， 对 Debian/Ubuntu 文 持 好 ， 虽 然 没 
有 合并 到 Linux 内 核 中 ， 但 成 熟 度 很 高 ; 


.OverlayFS: 类 似 于 AUFS， 人 性 能 更 好 一 些 ， 已 经 合并 到 内 核 ， 未 
来 会 取代 AUFS， 但 成 熟 度 有 待 提高; 


-Device Mapper: Redhat 公 司 和 Docker 团 队 一 起 开发 用 于 支持 RHEL 
的 文件 系统 ， 内 核 文 持 ， 性 能 略 慢 ， 成 熟 度 高 ; 


:btrfs: 参考 zfs 等 特性 设计 的 文件 系统 ， 由 Linux 社 区 开发 ， 试 图 未 
来 取代 Device Mapper， 成 熟 度 有 竺 提高 ; 


vfs: 基于 普通 文件 系统 (ext、nfs 等 ) 的 中 间 层 抽象 ， 性 能 差 ， 
比较 占用 空间 ， 成 熟 度 也 一 般 。 


zfs: i A Solaris 10 上 的 写 时 文件 系统 ， 拥 有 不 少 好 的 特 
性 ， 但 对 Linux 文 持 还 不 够 成 熟 。 


总 结 一 下 ，AUFS 和 Device Mapper 的 应 用 最 为 广泛 ， 支 持 也 相对 成 
熟 ， 推 荐 生产 环境 考虑 。 长 期 来 看 ，OverlayFS 将 可 能 具有 更 好 的 特 
性 。 


17.5 ”Linux 网 络 虚 拟 化 


Docker 的 本 地 网 络 实现 其 实 束 是 利用 了 Linux 上 的 网 络 命名 空间 和 
虚拟 网 络 设 备 (特别 是 veth pair) 。 熟 悉 这 两 部 分 的 基本 概念 ， 有 助 于 
理解 Docker 网 络 的 实现 过 程 。 


1. 基 本 原理 


直观 上 看 ， 要 实现 网 络 通 信 ， 机 器 需要 至 少 一 个 网 络 接 口 (物理 
接口 或 虚拟 接口 ) 与 外 界 相通 ， 并 可 以 收发 数据 包 ， 此外， 如 果 不 同 
子 网 之 间 要 进行 通信 ， 需 要 额外 的 路 由 机 制 。 


Docker 中 的 网 络 接口 默认 痢 是 虚拟 的 接口 。 虚 拟 接 口 的 最 大 优势 
就 是 转发 效率 极 高 。 这 是 因为 Linux 通 过 在 内 核 中 进行 数据 复制 来 实现 
虚拟 接口 之 间 的 数据 转发 ， 即 发 送 接口 的 发 送 缓存 中 的 数据 包 将 被 直 
接 复制 到 接收 接口 的 接收 缓存 中 ， 而 无 需 通 过 外 部 物理 网 络 设备 进行 
交换 。 对 于 本 地 系统 和 容 右 内 系统 来 看 ， 虚 拟 接口 跟 一 个 正常 的 以 太 
网 卡 相 比 并 无 区 别 ， 只 是 它 速 度 要 快 得 多 。 


Docker 容 器 网 络 就 很 好 地 利用 了 Linux 虚 拟 网 络 技 术 ， 在 本 地 主机 
和 容器 内 分 别 创 建 一 个 虚拟 接口 ， 并 让 它们 彼此 连通 (这 样 的 一 对 接 
口 叫做 veth pair) ， 如 图 17-4 所 示 。 


容器 A 容器 也 TC 
172.17.0.2 122310:0.3 172.17.0.4 


veth 


网 桥 docker() 


物理 主机 
192.168.100.100 


图 17-4 Linux 虚 机 网 络 技术 


2. 网 络 创建 过 程 


一 般 情况 下 ，Docker 创 建 一 个 容器 的 时 候 ， 会 具体 执行 如 下 操 
作 : 


1) 创建 一 对 虚拟 接口 ， 分 别 放 到 本 地 主机 和 新 容器 的 命名 空间 


2) 本 地 主机 一 端的 虚拟 接口 连接 到 默认 的 docker0 网 桥 或 指定 网 桥 
上 ， 并 具有 一 个 以 veth 开 头 的 唯一 名 字 ， 如 veth1234; 


3) 容器 一 端的 虚拟 接口 将 放 到 新 创建 的 容器 中 ， 并 修改 名 字 作 为 
eth0。 这 个 接口 只 在 容 吉 的 命名 空间 可 见 


4) 从 网 桥 可 用 地 址 段 中 获取 一 个 空闲 地 址 分 配给 容器 的 etho ( 例 
如 172.17.0.2/16) ， 并 配置 默认 路 由 网 关 为 docker0 网 卡 的 内 部 接口 
docker0 的 IP 地 址 (例如 172.17.42.1/16) ° 


完成 这 些 之 后 ， 容 郁 束 可 以 使 用 它 所 能 看 到 的 eth0 虚 拟 网 卡 来 连接 
其 他 容 句 和 访问 外 部 网 络 。 


用 户 也 可 以 通过 docker network 命 令 来 手动 管理 网 络 ， 将 在 后 续 第 


21 音 介绍 。 


在 使 用 docker run 命 令 启 动容 姻 的 上 时候， 可 以 通过 --net 参 数 来 指定 
容 独 的 网 络 配 置 。 


有 5 个 可 选 值 bridge、none、container、host 和 用 户 定义 的 网 络 : 


-net-bridge: 默认 值 ， 在 Docker 网 桥 docker0 上 为 容器 创建 新 的 网 
RE o 


-net-none: 让 Docker 将 新 容器 放 到 隔离 的 网 络 栈 中 ， 但 是 不 进行 
网 络 配置 。 之 后 ， 用 户 可 以 目 行 进行 配置 。 


—net-container: NAME or ID: 让 Docker 将 新 建 容器 的 进程 放 到 
一 个 已 存在 容器 的 网 络 栈 中 ， 新 容器 进程 有 自己 的 文件 系统 、 进 程 列 
表 和 资源 限制 ， 但 会 和 已 存在 的 容器 共享 下地 址 和 端口 等 网 络 资源 ， 
两 者 进程 可 以 直接 通过 lo 环 回 接口 通信 。 


-net=host: 告诉 Docker 不 要 将 容 右 网 络 放 到 隔离 的 命名 空间 中 ， 
即 不 要 容器 化 容 右 内 的 网 络 。 此 时 容器 使 用 本 地 主机 的 网 络 ， 它 拥有 
完全 的 本 地 主机 接口 访问 权限 。 容 右 进 程 可 以 跟 主机 其 他 root 进 程 一 样 
打开 低 范 围 的 端口 ， 可 以 访问 本 地 网 络 服务 ， 比 如 D-bus， 还 可 以 让 容 
如 做 一 些 影响 整个 主机 系统 的 事情 ， 比 如 重启 主机 。 因 此 使 用 这 个 选 
项 的 时 候 要 非 音 小心。 如 有 果 进 一 步 的 使 用 --privileged=true 参 数 ， 容 硕 其 
会 被 允许 直接 配置 主机 的 网 络 栈 。 


.--net=user_defined_network: 用 户 自 行 用 network 相 关 命 令 创 建 一 
个 网 络 ， 通 过 这 种 方式 将 容器 连接 到 指定 的 已 创建 网 络 上 去 o 


3. 手 动 配置 网 络 


用 户 使 用 --net=none 后 ，Docker 将 不 对 容 絮 网 络 进 行 配置 。 下 面 ， 
将 手动 完成 配置 网 络 的 整个 过 程 。 通 过 这 个 过 程 ， 可 以 了 解 到 Docker 
配置 网 络 的 更 多 细 广 。 


首先 ， 启 动 一 个 /bin/bash 容 器 ， 指 定 --net=none 参 数 : 


$ docker run -i -t --rm --net=none base /bin/bash 
root@63f36fc01b5f :/# 


在 本 地 主机 查找 容器 的 进程 id， 并 为 它 创 建 网 络 命名 空间 ; 


$ docker inspect -f '{{.State.Pid}}' 63f36fcO1b5f 


2778 


$ pid=2778 


$ sudo mkdir -p /var/run/netns 
$ sudo 1n 


检 


-s /proc/$pid/ns/net /var/run/netns/$pid 


查 桥接 网 卡 的 也 和子 网 掩 码 信息 : 


$ ip addr show dockerg 
21: docker0: ... 
inet 172.17.42.1/16 scope global dockerO 


创建 一 对 “veth pair 接 口 A 和 B， 绑 定 A 接 口 到 网 桥 docker0， 并 局 用 


Č: 
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sudo ip link add A type veth peer name B 
sudo brctl addif dockerO A 
sudo ip link set A up 


将 B 接 口 放 到 容器 的 网 络 命名 空间 ， 命 名 为 eth0， 局 动 它 并 配置 一 
个 可 用 IP (桥接 网 段 ， 和 默认 网 关 : 


sudo 
sudo 
sudo 
sudo 
sudo 


H AARNA 


ip 
ip 
ip 
ip 
ip 


link set B netns $pid 

netns exec $pid ip link set dev B name ethO 

netns exec $pid ip link set ethO up 

netns exec $pid ip addr add 172.17.42.99/16 dev ethO 
netns exec $pid ip route add default via 172.17.42.1 


以 上 ， 束 是 Docker 配 置 网 络 的 具体 过 程 。 


当 容 剖 终止 后 ，Docker 会 清空 容 颖 ， 容 姨 内 的 网 络 接口 会 随 网 络 
命名 空间 一 起 补 清 除 ，A 授 口 也 会 目 动 从 docker0 凶 和 载 并 清除 。 


此 外 ， 在 删除 /var/run/netns/ 下 的 内 容 之 前 ， 用 户 可 以 使 用 ip netns 
exec 命 令 在 指定 网 络 命 名 空间 中 进行 配置 ， 从 而 更 新 容器 内 的 网 络 配 
置 o 


17.6 “本草 小 结 


本 章 具 体 训 析 了 Docker 实 现 的 一 些 核心 技术 ， 包 括 它 的 基本 以 
构 ， 以 及 所 依赖 的 Linux 操 作 系 统 中 的 命名 空间 、 控 制 组 、 联 合 文件 系 
统 、 虚 拟 网络 文 持 等 。 大 部 分 都 是 Linux 操 作 系统 上 已 有 的 技术 。 


从 本 章 中 读者 可 以 看 到 ，Docker 的 优秀 特性 跟 Linux 操 作 系统 的 强 
大 、 特 别 是 Linux 上 成 熟 的 容 亏 扩 术 文 持 是 分 不 开 的 。 在 实际 使 用 
Docker 容 大 的 过 程 中 ， 还 将 涉及 如 何 调整 系统 配置 来 优化 容 需 性 能 ， 
这 些 都 需要 有 丰富 的 Linux 系 统 运 维 知识 和 实践 经 验 。 


通过 runc 等 更 通用 的 容器 运行 时 技术 标准 ，Docker 已 经 可 以 移植 
到 Linux 之 外 的 多 种 平台 上 ， 这 将 使 得 它 的 应 用 范围 更 为 广泛 。 


此 外 ， 通 过 插件 化 的 网 络 机 制 ，Docker 还 可 以 支持 更 多 更 强大 的 


网 络 虚 拟 化 功能 ， 这 将 在 后 续 章 和 介绍 。 


第 18 章 ”配置 私有 仓库 


在 使 用 Docker 一 段 时 间 后 ， 往 往 会 发 现 手头 积累 了 大 量 的 自 定义 
镜像 文件 ， 这 些 文件 通过 公有 仓库 进行 管理 并 不 方便 ， 男 外 有 时候 只 
古 希 户 在 内 部 用 户 之 间 进 行 分 诗 ， 不 布 望 歇 露出 去 。 这 种 情况 下 ， 整 
有 必要 搭建 一 个 本 地 私有 镜像 仓库 。 


在 第 一 部 分 中 ， 笔 者 曾 介 绍 快速 使 用 registry 镜 像 搭 建 一 个 私有 仓 
库 的 方法 。 本 章 笔者 将 具体 讲解 registry 的 使 用 技巧 ， 并 通过 具体 案例 
来 展示 如 何 搭建 一 个 功能 完善 的 私有 镜像 仓库 。 


在 搭建 完成 本 地 的 私有 仓库 服务 后 ， 接 下 来 会 剖析 registry 的 配置 
参数 ， 最 后 介绍 通过 编写 脚本 来 实现 对 镜像 的 快速 批量 化 管理 。 


TRA 


18.1 安装 Docker Registry 


Docker Registry 工 具 目 前 最 新 为 2.0 系 列 有 版本， 这 一 版 本 与 一 些 类 
库 、 工 具 一 起 被 打包 为 负责 容 需 内 容 分 发 的 工具 集 : Docker 
Distribution ° 目前 其 核心 的 功能 组 件 仍 为 负责 镜像 仓库 的 管理 。 


新 版 本 的 Registry 基 于 Golang 进 行 了 重 构 ， 提 供 更 好 的 性 能 和 扩展 
性 ， 并 且 文 持 Docker 1.6+ 的 API， 非 常 适合 用 来 构建 私有 的 镜像 注册 
服务 器 。 官 方 仓库 中 也 提供 了 Registry 的 镜像 ， 因 此 用 户 可 以 通过 容器 
运行 和 源码 安 狠 两 种 方式 来 使 用 Registry。 


$ docker run -d -p 5000:5000 --restart=always --name registry registry:2.1 


局 动 后 比较 关键 的 参数 是 指定 配置 文件 和 仓库 存储 路 径 。 


Registry 默 认 的 配置 文件 为 /etc/docker/registry/config.yml， 因 此 ， 
通过 如 下 命令 ， 可 以 指定 使 用 本 地 主机 上 的 配置 文件 


(40/home/user/registry-conf) 


$ docker run -d -p 5000:5000 \ 
--restart-always \ 


--name registry \ 
-v /home/user/registry-conf/config.yml:/etc/docker/registry/config.yml \ 
registry:2 


此 外 ，Registry 默 认 的 存储 位 置 为 /var/lib/registry， 可 以 通过 -v 参 数 
来 映射 本 地 的 路 径 到 容器 内 。 


例如 下 面 的 例子 将 镜像 存储 到 本 地 /opt/data/registry 目 录 。 


$ docker run -d -p 5000:5000 --restart=always --name registry \ 
-v /opt/data/registry:/var/lib/registry \ 
registry:2 


有 时 候 需 要 本 地 运行 仓库 服务 ， 可 以 通过 源码 方式 进行 安装 。 
首先 安装 Golang 环 境 文 持 ， 以 Ubuntu 为 例 ， 可 以 执行 如 下 命令 


$ sudo add-apt-repository ppa:ubuntu-lxc/lxd-stable 
$ sudo apt-get update 
$ sudo apt-get install golang 


确认 Golang 环 境 安 闭 成 功 ， 并 配置 4GOPATH 环 境 变量 ， 例 
如 /go ° 


创建 $GOPATH/src/github.com/docker/ 目 隶 ， 并 获取 源码 ， 如 下 所 


$ mkdir -p $GOPATH/src/github.com/docker/ 
$ cd $GOPATH/src/github.com/docker/ 


$ git clone https://github.com/docker/distribution.git 
$ cd distribution 


将 目 市 的 模板 配置 文件 复制 到 /etc/dockerregistry/ 路 径 下 ， 创 建 存 
储 目 录 /var/lib/registry: 


$ cp cmd/registry/config-dev.yml /etc/docker/registry/config.yml 
$ mkdir -p /var/lib/registry 


然后 执行 安装 操作 : 


$ make PREFIX-/go clean binaries 


编译 成 功 后 ， 可 以 通过 下 面 的 命令 来 局 动 : 


$ registry serve /etc/docker/registry/config.yml 


此 时 使 用 访问 本 地 的 5000 端 口 ， 看 到 返回 成 功 (200 OK) ， 则 说 
明和 运行 成 功 : 


$ curl -i 127.0.0.1:5000/v2/ 

HTTP/1.1 200 OK 

Content-Length: 2 

Content-Type: application/json; charset-utf-8 
Docker-Distribution-Api-Version: registry/2.0 
X-Content-Type-Options: nosniff 

Date: Wed, 31 Sep 2016 06:36:10 GMT 

Ü 


18.2 配置 TLS 证 书 


当 本 地 主机 运行 Registry 服 务 后 ， 所 有 能 访问 到 该 主机 的 Docker 
Host 都 可 以 把 它 作 为 私有 仓库 使 用 。 只 需要 在 镜像 名 称 前 面 添加 上 具 
体 的 服务 恬 地 址 。 


例如 将 本 地 的 ubuntu: latest 镜 像 上 传 到 私有 仓库 myrepo.com: 


$ docker tag ubuntu myrepo.com:5000/ubuntu 
$ docker push myrepo.com:5000/ubuntu 


或 者 从 私有 仓库 myrepo.com 下 载 镜像 到 本 地 : 


$ docker pull myrepo.com:5000/ubuntu 
$ docker tag myrepo.com:5000/ubuntu ubuntu 


私有 仓库 需要 启用 TLS 认 证 ， 否 则 会 报错 。 在 第 一 部 分 中 ， 我 们 
介绍 了 通过 添加 DOCKER_OPTS="--insecure-registry myrepo.com: 
5000 来 避免 这 个 问题 。 在 这 里 将 介绍 如 何 获 取 和 生成 TLS 证 书 。 


1. 自 行 生成 证 书 


使 用 openssl 工 具 可 以 很 容易 地 生成 私人 证 书 文件 : 


$ mkdir -p certs 
$ openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/myrepo.key -x509 
-days 365 -out certs/myrepo.crt 


生成 过 程 中 会 提示 填 入 各 种 信息 ， 注 意 CN 一 栏 的 信息 要 填 入 跟 访 
问 的 地 址 相同 的 域名 ， 例 如 这 里 应 该 为 myrepo.com 。 


生成 结果 为 秘 钥 文件 myrepo.key， 以 及 证 书 文件 myrepo.crt 9 


其 中 证 书 文 件 需要 发 送 给 用 户 ， 并 且 配 置 到 用 户 Docker Host 上 ， 
注意 路 径 需 要 跟 域 名 一 致 ， 例 如 : 


/etc/docker/certs.d/myrepo.com:5000/ca.crt 


2. 从 代理 商 申请 证 书 
如 果 Registry 服 务 需要 对 外 公开 ， 需 要 申请 大 家 都 认可 的 证 书 。 


知名 的 代理 商 包 括 SSLs.com、GoDaddy.com、LetsEncrypt.org、 
GlobalSign.com 等 ， 用 户 可 以 自行 选择 权威 的 证 书 提供 商 。 


3. 局 用 证 书 


当 拥 有 秘 钥 文 件 和 证 书 文 件 后 ， 可 以 配置 Registry 局 用 证 书 文 持 ， 
主要 通过 REGISTRY HTTP TLS_CERTIFICATE 和 


REGISTRY HTTP TLS KEY 参数 来 设置 : 


docker run -d -p 5000:5000 --restart-always --name registry \ 
-v `pwd`/certs:/certs \ 
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/myrepo.crt \ 
-e REGISTRY HTTP TLS KEY-/certs/myrepo.key \ 
registry:2 


18.3 ”管理 访问 权限 


通常 在 生产 场景 中 ， 对 私有 仓库 还 需要 进行 访问 代理 ， 以 及 提供 
认证 和 用 户 管理 。 


1.Docker Registry v2 的 认证 模式 
Docker Registry v2 的 认证 模式 和 v1 有 了 较 大 的 变化 ， 降 低 了 系统 的 


复杂 度 、 减 少 了 服务 之 间 的 交互 次 数 ， 其 基本 工作 模式 如 图 18-1 所 示 。 


Authorization 
Service 


Registry v2 


Docker Daemon 
API Client 


图 18-1 Registry v2 的 认证 模式 


具体 交互 过 程 包括 如 下 步 又 : 


1) Docker Daemon 或 者 其 他 客户 端 党 试 访 问 Registry 服 务 器 ， 比 如 
pull、push 或 者 访问 manifiest 文 件 ; 


2) 在 Registry 服 务 器 开启 了 认证 服务 模式 时 ， 就 会 直接 返回 401 
Unauthorized 错 误 ， 并 通知 调用 方 如 何 获 得 授权 ; 


3) 调用 方 按照 要 求 ， 向 Authorization Service 发 送 请 求 ， 并 携带 
Authorization Service 需 要 的 信息 ， 比 如 用 户 名 、 密 码 ; 


4) 如 果 授 权 成 功 ， 则 可 以 拿 到 合法 的 Bearer token， 来 标识 该 请 求 
方 可 以 获得 的 权限 ; 


5) 请 求 方 将 拿 到 Bearer token 加 到 请 求 的 Authorization header 中 ， 
再 次 尝试 步骤 1 中 的 请 求 ; 


6) Registry 服 务 通 过 验证 Bearer token 以 及 JWT 格 式 的 授权 数据 ， 
来 决定 用 户 是 否 有 权限 进行 请 求 的 操作 。 


当 启 用 认证 服务 时 ， 和 需要 注意 以 下 两 个 地 方 : 


.对 于 Authentication Service，Docker 官 方 目前 并 没有 放出 对 应 的 实 
现 方案 ， 需 要 自行 实现 对 应 的 服务 接口 ; 


:Registry 服 务 和 Authentication 服 务 之 间 通 过 证 书 进 行 Bearer token 的 
生成 和 认证 ， 所 以 要 保证 两 个 服务 之 间 证 书 的 匹配 。 


除了 使 用 第 三 方 实现 的 认证 服务 (如 docker_auth、SUSE Portus 
等 ) 外 ， 还 可 以 通过 Nginx 代 理 方式 来 配置 基于 用 户 名 密码 的 认证 。 


2. 配 置 Nginx 代 理 


使 用 Nginx 来 代理 Registry 服 务 的 原理 十 分 简单 ， 在 上 一 下 中， 我 
们 让 Registry 服 务 监听 在 127.0.0.1: 5000， 这 意味 着 只 允许 本 机 才能 通 
过 5000 端 口 访问 到 ， 其 他 主机 是 无 法 访问 到 的 。 


为 了 让 其 他 主机 访问 到 ， 可 以 通过 Nginx 监 听 在 对 外 地 址 的 15000 
端口 ， 当 外 部 访问 请 求 到 达 15000 端 口 时 ， 内 部 再 将 请 求 转 发 到 本 地 的 
5000 端 口 。 


首先 ， 安 装 Nginx: 


$ sudo apt-get -y install nginx 


在 /etc/nginx/sites-available/ 目 录 下 ， 创 建新 的 站 点 配置 文 
件 /etc/nginx/sites-available/docker-registry.conf， 代 理 本 地 的 15000 病 口 转 
发 到 5000 端 口 。 


配置 文件 内 容 如 下 : 


# 本 地 的 registry 服 务 监听 在 15999 端 口 
upstream docker-registry ( 
server localhost:5000; 


} 
# 代理 服务 器 监听 在 15000 端 口 
server ( 


listen 15000; 

server name private-registry-server.com; 

add header 'Docker-Distribution-Api-Version' 'registry/2.0' always; 
# If you have SSL certification files, then can enable this section. 
ssl on; 

ssl certificate /etc/ssl/certs/myrepo.crt; 

ssl certificate key /etc/ssl/private/myrepo.key; 


proxy. pass http://docker-registry; 

proxy set header Host N$http host; # required for docker 
client's sake 

proxy set header  X-Real-IP N$remote addr; £ pass on real client's IP 


proxy set header X-Forwarded-For N$proxy. add. x forwarded for; 

proxy set header X-Forwarded-Proto N$scheme; 

proxy read timeout 600; 

client max body size 0; # disable any limits to avoid HTTP 413 for large 
image uploads 

# required to avoid HTTP 411: see Issue #1486 (https://github.com/dotcloud/ 
docker/issues/1486) 

chunked transfer encoding on; 

location /v2/ { 
# 禁止 旧版 本 Docker 访 问 
if (\$http_user_agent ~ "^(docker\/1\.(3|4|5(?!\.[0-9]-dev))|Go ).*\$" ) { 

return 404; 


} 
# 配置 转发 访问 请 求 到 registry 服 务 
proxy pass http://docker-registry; 


建立 配置 文件 软 连接 ， 放 到 /etcnginx/sites-enabled/ 下 面 ， 让 Nginx 
局 用 它 ， 最 后 重启 Nginx 服 务 : 


$ sudo ln -s /etc/nginx/sites-available/docker-registry.conf /etc/nginx/sites- 
enabled/docker-registry.conf 
$ service nginx restart 


之 后 ， 可 以 通过 上 传 镜像 来 测试 服务 是 否 正常 。 测 试 上 传 本 地 的 


ubuntu: latest 镑 像 : 


$ docker tag ubuntu:14.04 127.0.0.1:15000/ubuntu:latest 
$ docker push 127.0.0.1:15000/ubuntu:latest 


3. FH PA UE 


公共 仓库 Docker Hub 是 通过 注册 索引 (index) 服务 来 实现 的 。 由 
于 Index 服 务 并 没有 完善 的 开源 实现 ， 在 这 里 介绍 基于 Nginx 代 理 的 用 户 
访问 管理 方案 。 


Nginx 支 持 基于 用 户 名 和 密码 的 访问 管理 。 


首先 ， 在 配置 文件 的 location/ 字 上 段 中 添加 两 行 : 


location / ( 
# let Nginx know about our auth file 
auth basic "Please Input username/password"; 
auth basic user file docker-registry-htpasswd; 
proxy pass http://docker-registry; 
} 


其 中 ，auth_basic 行 说 明 启 用 认证 服务 ， 不 通过 的 请 求 将 无 法 转 
发 。auth_basic_user file 行 则 指定 了 验证 的 用 户 名 密码 存储 文件 为 本 地 
(/etc/nginx/ 下 ) 的 docker-registry-htpasswd 文 件 。 


docker-registry-htpasswd 文 件 中 存储 用 户 名 密码 的 格式 为 每 行 放 一 
个 用 户 名 、 密 码 对 。 例 如 : 


useri:password1 
user2:password2 


需要 注意 的 是 ， 密 码 字段 存储 的 并 不 是 明文 ， 而 是 使 用 crypt 函 数 


要 生成 加 蜜 后 的 字符 串 ， 可 以 使 用 htpasswd 工 具 ， 首 先 安装 


apache2-utils: 


$ sudo aptitude install apache2-utils -y 


创建 用 户 user1， 并 添加 密码 。 


例如 ， 如 下 的 操作 会 创建 /etc/nginx/docker-registry-htpasswd 文 件 来 
保存 用 户 名 和 加 密 后 的 密码 信息 ， 并 创建 user1 和 对 应 的 密码 : 


$ sudo htpasswd -c /etc/nginx/docker-registry-htpasswd user1 
$ New password: 

$ Re-type new password: 

$ Adding password for user useri 


添加 更 多 用 户 ， 可 以 重复 上 面 的 命令 (密码 文件 存在 后 ， 不 需要 
再 使 用 -选项 来 新 创建 ) 。 


最 后 ， 重 新 启动 Nginx 服 务 : 


$ sudo service nginx restart 


此 时 ， 通 过 浏览 器 访问 本 地 的 服务 http://127.0.0.1: 15000/v2/， 会 
弹出 对 话 杠 ， 提 示 需 要 输入 用 户 名 和 密码 。 


通过 命令 行 访 问 ， 需 要 在 地 址 前 面 带 上 用 户 名 和 密码 才能 正常 返 


$ curl USERNAME :PASSWORD@127.0.0.1:15000/v2/ 


ER T fERINginxfE2y 5C [S] fVERZP, Registry H 4 chris] RAET 
用 户 名 和 密码 的 认证 和 基于 token 的 认证 ， 可 以 通过 如 下 环境 变量 来 指 


人 


AE: 


REGISTRY AUTH: htpasswd 
REGISTRY AUTH HTPASSWD PATH: /auth/htpasswd 
REGISTRY AUTH HTPASSWD REALM: basic 


4.Ħ Compose/zi Z] Registry 


一 般 情 况 下 ， 用 户 使 用 Registry 需 要 的 配置 包括 存储 路 径 、TLS 证 
书 和 用 户 认证 。 这 里 提供 一 个 基于 Docker Compose 的 快速 启动 Registry 
的 模板 : 


registry: 

restart: always 

image: registry:2.1 

ports: 
- 5000:5000 

environment: 
REGISTRY HTTP TLS CERTIFICATE: /certs/myrepo.crt 
REGISTRY HTTP TLS KEY: /certs/myrepo.key 
REGISTRY AUTH: htpasswd 
REGISTRY AUTH HTPASSWD PATH: /auth/docker-registry-htpasswd 
REGISTRY AUTH HTPASSWD REALM: basic 

volumes: 
- /path/to/data:/var/lib/registry 
- /path/to/certs:/certs 
- /path/to/auth:/auth 


18.4 f ERegistry 


Docker Registry 提 供 了 一 些 样 例 配 置 ， 用 户 可 以 直接 使 用 它们 来 
进行 开发 或 生产 部 署 。 


笔者 将 以 下 面 的 示例 配置 来 介绍 如 何 使 用 配置 文件 来 管理 私有 仓 
库 。 


18.4.1 示例 配置 


代码 如 下 : 


version: 0.1 


log: 
level: debug 
fields: 
service: registry 
environment: development 
hooks: 
- type: mail 
disabled: true 
levels: 
- panic 
options: 
smtp: 
addr: mail.example.com:25 
username: mailuser 
password: password 
insecure: true 
from: sender(Qexample.com 
to: 
- errorsQexample.com 
storage: 
delete: 
enabled: true 
cache: 


blobdescriptor: redis 
filesystem: 
rootdirectory: /var/lib/registry 


maintenance : 
uploadpurging: 
enabled: false 


http: 
addr: :5000 
debug: 
addr: localhost:5001 
headers: 
X-Content-Type-Options: [nosniff] 
redis: 
addr: localhost:6379 
pool: 


maxidle: 16 
maxactive: 64 
idletimeout: 300s 
dialtimeout: 10ms 
readtimeout: 10ms 
writetimeout: 10ms 
notifications: 
endpoints: 
- name: local-5003 
url: http://localhost:5003/callback 
headers: 
Authorization: [Bearer «an example token>] 
timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 
- name: local-8083 
url: http://localhost:8083/callback 
timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 
health: 
storagedriver: 
enabled: true 
interval: 10s 
threshold: 3 


18.4.2 ”选项 


些 选 项 以 yam] 文 件 格式 提供 ， 用 户 可 以 直接 进行 修改 ， 也 可 以 
添加 目 定义 的 模板 段 。 


默认 情况 下 ， 变 量 可 以 从 环境 变量 中 读 取 ， 例 如 log.level: debug 
可 以 配置 为 : 


export LOG_LEVEL=debug 


比较 重要 的 选项 包括 版 本 信息 、log 选 项 、hooks 选 项 、 存 储 选 


项 、 认 证 选项 、HTTP 选 项 、 通 知 选 项 、redis 选 项 、 健 康 监控 选项 、 代 


理 选 项 和 验证 选项 等 。 下 面 分 别 介 绍 这 些 选 项 。 
1. 版 本 信息 


version: 0.1 
2.log 选 项 
日 志 相 关 : 


log: 
level: debug 
formatter: text 
fields: 
service: registry 
environment: staging 


参数 说 明 : 


level. 字符 串 类 型 ， 标 注 输出 调试 信息 的 级 别 ， 包 括 debug ` 


info ~ warn 、 error ° 


fomatter: 字符 串 类 型 ， 日 志和 输出 的 格式 ， 包 括 text、json、 


logstash 等 。 


fields: 增加 到 日 志和 输出 消息 中 的 键 值 对 ， 可 以 用 于 过 滤 日 志 
3.hooks 选 项 
配置 当 仓 库 发 生 异 常 时 ， 通 过 邮件 发 送 日 志 时 的 参数 : 


hooks: 
- type: mail 
levels: 
- panic 
options: 
smtp: 
addr: smtp.sendhost.com:25 
username: sendername 
password: password 
insecure: true 
from: nameQsendhost.com 
to: 
- nameQreceivehost.com 


4. 存 储 选 项 


storage 选 项 将 配置 存储 的 引擎 ， 黑 认 文 持 包括 本 地 文件 系统 、 


o 


Google 云 存储 、AWS S3 云 存储 和 OpenStack Swift 分 布 式 存储 等 ， 如 下 


所 示 : 


storage: 
filesystem: 
rootdirectory: /var/lib/registry 
azure: 
accountname: accountname 
accountkey: base64encodedaccountkey 
container: containername 
gcs: 
bucket: bucketname 
keyfile: /path/to/keyfile 
rootdirectory: /gcs/object/name/prefix 
s3: 
accesskey: awsaccesskey 
secretkey: awssecretkey 
region: us-west-1 
regionendpoint: http://myobjects.local 


bucket: bucketname 
encrypt: true 
keyid: mykeyid 
secure: true 
v4auth: true 
chunksize: 5242880 
multipartcopychunksize: 33554432 
multipartcopymaxconcurrency: 100 
multipartcopythresholdsize: 33554432 
rootdirectory: /s3/object/name/prefix 
swift: 
username: username 
password: password 
authurl: https://storage.myprovider.com/auth/v1.0 or https://storage. 
myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth 
tenant: tenantname 
tenantid: tenantid 
domain: domain name for Openstack Identity v3 API 
domainid: domain id for Openstack Identity v3 API 
insecureskipverify: true 
region: fr 
container: containername 
rootdirectory: /swift/object/name/prefix 
oss: 
accesskeyid: accesskeyid 
accesskeysecret: accesskeysecret 
region: OSS region name 
endpoint: optional endpoints 
internal: optional internal endpoint 
bucket: OSS bucket 
encrypt: optional data encryption setting 
secure: optional ssl setting 
chunksize: optional size valye 
rootdirectory: optional root directory 
inmemory: 
delete: 
enabled: false 
cache: 
blobdescriptor: inmemory 
maintenance: 
uploadpurging: 
enabled: true 
age: 168h 
interval: 24h 
dryrun: false 
redirect: 
disable: false 


比较 重要 的 选项 如 下 : 


maintenance: 配置 维护 相关 的 功能 ， 包 括 对 孤立 旧 文 件 的 清理 、 
开局 只 读 模 式 等 ; 


delete: 是 否 人 允许 删除 镜像 功能 ， 移 认 关 了 闭 ; 


cache: 开局 对 镜像 层 元 数据 的 绥 存 功能 ， 默 认 开 局 ; 


5. 认 证 选项 


对 认证 类 型 的 配置 ， 如 下 所 示 : 


auth: 
silly: 
realm: silly-realm 
service: silly-service 
token: 
realm: token-realm 
service: token-service 
issuer: registry-token-issuer 
rootcertbundle: /root/certs/bundle 
htpasswd: 
realm: basic-realm 
path: /path/to/htpasswd 


比较 重要 的 选项 如 下 : 


silly: 仅 供 测试 使 用 ， 只 要 请 求 头 帝 有 认证 域 即 可 ， 不 做 内 容 检 


[rj 


token: 基于 token 的 用 户 认 证 ， 适 用 于 生产 环境 ， 需 要 额外 的 
token 服 务 来 支持 ; 


‘htpasswd: 基于 Apache htpasswd 密 人 码 文件 的 权限 检查 。 


6.HTTP 选 项 


跟 HTTP 服 务 相关 的 配置 ， 如 下 所 示 : 


http: 
addr: localhost:5000 
net: tcp 
prefix: /my/nested/registry/ 
host: https://myregistryaddress.org:5000 
secret: asecretforlocaldevelopment 
relativeurls: false 
tls: 
certificate: /path/to/x509/public 
key: /path/to/x509/private 
clientcas: 
- /path/to/ca.pem 
- /path/to/another/ca.pem 
letsencrypt: 
cachefile: /path/to/cache-file 
email: emailusedQletsencrypt.com 
debug: 
addr: localhost:5001 
headers: 
X-Content-Type-Options: [nosniff] 
http2: 
disabled: false 


其 中 的 参数 如 下 : 

-addr: 必 选 ， 服 务 监 听 地 址 ; 

secret: 必 选 ， 跟 安全 相关 的 随机 字符 串 ， 用 户 可 以 自己 定义 ; 
tls: 证 书 相关 的 文件 路 径 信息 ; 

-http2: 是 否 开启 http2 支 持 ， 默 认 关 闭 。 

7. 通 知 选项 


有 事件 发 生 时 候 的 通知 系统 。 


notifications: 
endpoints: 
- name: alistener 
disabled: false 
url: https://my.listener.com/event 
headers: «http.Header» 
timeout: 500 
threshold: 5 
backoff: 1000 


8.redis 选 项 
Registry 可 以 用 Redis 来 缓存 文件 块 ， 这 里 可 以 配置 相关 选项 ; 


redis: 
addr: localhost:6379 
password: asecret 
db: 0 
dialtimeout: 10ms 
readtimeout: 10ms 
writetimeout: 10ms 
pool: 
maxidle: 16 
maxactive: 64 
idletimeout: 300s 


9. 健 康 监控 选项 


跟 健 康 监控 相关 ， 主 要 是 对 配置 服务 进行 检测 判断 系统 状态 ， 如 
Br: 


health: 
storagedriver: 
enabled: true 
interval: 10s 
threshold: 3 
file: 
- file: /path/to/checked/file 
interval: 10s 
http: 
- uri: http://server.to.check/must/return/200 
headers: 
Authorization: [Basic QWxhZGRpbjpvcGVuIHNlc2FtzQ-- 
statuscode: 200 
timeout: 3s 


interval: 10s 
threshold: 3 
tcp: 
- addr: redis-server.domain.com:6379 
timeout: 3s 
interval: 10s 
threshold: 3 


默认 并 未 局 用 。 


10. 代 理 选 项 


配置 Registry 作 为 一 个 pull 人 代理， 从 远 端 (目前 仅 支 持 官方 仓 麻 ) 
下 拉 Docker 镜 像 ， 如 下 所 示 : 


proxy: 
remoteurl: https://registry-1.docker.io 
username: [username] 
password: [password] 


之 后 ， 用 户 可 以 通过 如 下 命令 来 配置 Docker 使 用 代理 : 


$ docker --registry-mirror-https://myrepo.com:5000 daemon 


11. 验 证 选项 


限定 来 目 指定 地 址 的 客户 端 才 可 以 执行 push 操 作 : 


validation: 
enabled: true 
manifests: 
urls: 
allow: 
- ^https?://([^/]**.)*exampleN.com/ 
deny: 
- ^https?://wwwN . exampleN.com/ 


18.5 批量 管理 镜像 


在 之 前 章 丰 中 ， 笔 者 介绍 了 如 何 对 单个 镜像 进行 上 传 、 下 载 的 操 
作 。 有 了 时候 ， 本 地 镜像 很 多 ， 逐 个 打 标 记 进 行 操作 将 十 分 浪费 时 间 。 
这 里 将 以 批量 上 传 镜像 为 例 ， 介 绍 如何 利 用 脚本 实现 对 镜像 的 批量 化 
处 理 。 


1. 批 量 上 传 指定 镜像 


可 以 使 用 下 面 的 push_images.sh 肢 本， 批量 上 传 本 地 的 镜像 到 注册 
服务 器 中 ， 默 认 是 本 地 注册 服务 器 127.0.0.1:5000， 用 户 可 以 通过 修改 
registry=127.0.0.1:5000 这 行 来 指定 目标 注册 服务 器 : 


&!/bin/sh 
# This script will upload the given local images to a registry server ($registry 
is the default value). 
See: https://github.com/yeasy/docker practice/blob/master/ local/push images.sh 
Usage: push images image1 [image2...] 
Author: yeasyQgithub 
Create: 2014-09-23 
#The registry server address where you want push the images into 
registry-127.0.0.1:5000 
### DO NOT MODIFY THE FOLLOWING PART, UNLESS YOU KNOW WHAT IT MEANS ### 
echor () { 
[ $4 -ne 1 ] && return 0 
echo -e "\033[31m$1\033[0m" 


Xk dk dk db 


} 

echo g () 1 
[ $4 -ne 1 ] && return 9 
echo -e "\033[32m$1\033[0m" 


} 

echo y () 1 
[ $4 -ne 1 ] && return 0 
echo -e "N933[33m$15033 [0m" 


} 

echo b () 1 
[ $4 -ne 1 ] && return 9 
echo -e "\033[34m$1\033[0m" 


j 
usage() { 
docker images 
echo "Usage: $0 registry1:tag1 [registry2:tag2...]" 


[ $4 -1t 1 ] && usage && exit 
echo b "The registry server is $registry" 
for image in "$0" 
do 
echo b "Uploading $image..." 
docker tag $image $registry/$image 
docker push $registry/$image 
docker rmi $registry/$image 
echo g "Done" 
done 


建议 把 脚本 存放 到 本 地 的 可 执行 路 径 下 ， 例 如 /usr/local/bin/ 下 
面 。 然 后 添加 可 执行 权限 ， 就 可 以 使 用 该 脚本 了 : 


$ sudo chmod a+x /usr/local/bin/push images.sh 


例如 ， 推 送 本 地 的 ubuntu: latestflicentos: centos7 两 个 镜像 到 本 地 
仓库 : 


$ ./push images.sh ubuntu:latest centos:centos7 

The registry server is 127.0.0.1 

Uploading ubuntu:latest... 

The push refers to a repository [127.0.0.1:5000/ubuntu] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/ubuntu (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image bfb8b5a2ad34 already pushed, skipping 

Image cif3bdbd8355 already pushed, skipping 

Image 897578f527ae already pushed, skipping 

Image 9387bcc9826e already pushed, skipping 

Image 809ed259f845 already pushed, skipping 

Image 96864a7d2df3 already pushed, skipping 

Pushing tag for rev [96864a7d2df3] on (http://127.0.0.1:5000/v1/repositories/ 
ubuntu/tags/1latest) 

Untagged: 127.0.0.1:5000/ubuntu:latest 

Done 

Uploading centos:centos7... 

The push refers to a repository [127.0.0.1:5000/centos] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/centos (1 tags) 

Image 511136ea3c5a already pushed, skipping 

34e94e67e63a: Image successfully pushed 

70214e5d0a90: Image successfully pushed 


Pushing tag for rev [70214e5d0a90] on (http://127.0.0.1:5000/v1/repositories/ 
centos/tags/centos7] 

Untagged: 127.0.0.1:5000/centos:centos7 

Done 


上 传 后 ， 查 看 本 地 镜像 ， 会 发 现 上 传 中 创建 的 临时 标签 也 同时 被 
清理 了 。 


2. 上 传 本 地 所 有 镜像 


在 push_images 工 具 的 基础 上 ， 还 可 以 进一步 的 创建 push_all 工 
具 ， 来 上 传 本 地 所 有 镜像 : 


&!/bin/sh 

# This script will upload all local images to a registry server ($registry is 
the default value). 

# This script requires the push images, which can be found at https://github.com/ 
yeasy/docker practice/blob/master/ local/push images.sh 

# Usage: push all 

# Author: yeasyQgithub 

# Create: 2014-09-23 

for image in ‘docker images|grep -v "REPOSITORY"|grep -v "«none»"|awk '(print 

$1":"$2)' * 

do 

push images.sh $image 
done 


另外 ， 推 荐 读者 把 它 放 在 /ust/local/bin/ 下 面 ， 并 添加 可 执行 权 
限 。 这 样 就 可 以 通过 push_all 命 令 来 同步 本 地 所 有 镜像 到 本 地 私有 仓库 
a o 


同样 ， 读 者 可 以 试 着 修改 脚本 ， 实 现 批 量化 下 载 锐 像 、 删 除 镜 
像 、 更 新 镜像 标签 等 更 多 的 操作 。 


18.6 ”使 用 通知 系统 


Docker Registry v2 还 内 置 提 供 卫 Notification 功能 ， 提 供 了 非常 方 
便 、 人 快捷 的 集成 接口 ， 避 免 了 v1 中 需要 用 户 自 己 实现 的 麻烦 。 


Notification 功 能 其 实 就 是 Registry 在 有 事件 发 生 的 时 候 ， 向 用 户 自 
己 定义 的 地 址 发 送 webhook 通 知 。 目 前 的 事件 包括 镜像 manifest 的 
push、pull， 镜 像 层 的 push、pull。 这 些 动 作 会 被 序列 化 成 webhook 事 件 
的 payload， 为 集成 服务 提供 事件 详情 ， 并 通过 Registry v2 的 内 置 广 播 系 
统 发 送 到 用 户 定义 的 服务 接口 ，Registry v2 称 这 些 用 户 服务 接口 为 


Endpoints ° 


Registry 服 务 器 的 事件 会 通过 HTTP 协 议 发 送 到 用 户 定义 的 所 有 
Endpoints 上 ， 而 且 每 个 Registry 实 例 的 每 个 Endpoint 都 有 上 自己 独立 的 队 
列 ， 重 试 选项 以 及 HTTP 的 目的 地 址 。 当 一 个 动作 发 生 时 ， 会 被 转换 成 
对 应 的 事件 并 放 管 到 一 个 内 存 队列 中 。 镜 像 服务 器 会 依次 处 理 队 列 中 
的 事件 ， 并 向 用 户 定义 的 Endpoint 发 送 请 求 。 事 件 发 送 处 理 是 串 行 的 ， 
但 是 Registry 服 务 器 并 不 会 保证 其 到 达 顺 序 。 


18.6.1 相关 配置 


Notification 在 Docker Registry 中 的 相关 配置 如 下 : 


notifications: 
endpoints: 
name: cd-handler 
disabled: false 
url: http://cd-service-host/api/v1/cd-service 
headers: 
Authorization: [token *******x***xxx**xx] 
timeout: 1s 
threshold: 5 
backoff: 10s 


上 面 的 配置 会 在 pull 或 者 push 发 生 时 向 http://cd-service- 
host/api/v1/cd-service 发 送 事 件 ， 并 在 HTTP 请 求 的 header 中 传 入 认证 信 
息 ， 可 以 是 Basic、token、Bearer 等 模式 ， 主 要 用 于 接收 事件 方 进行 身 
份 认证 。 更 新 配置 后 ， 需 要 重启 Registry 服 务 器 ， 如 果 配 置 正 确 ， 会 在 

日 志 中 看 到 对 应 的 提示 信息 ， 比 如 : 


configuring endpoint listener (http://cd-service-host/api/v1/cd-service), 
timeout-is, 
headers-map[Authorization: [token ******]] 


此 时 ， 用 户 再 通过 docker 客 户 端 去 push 或 pull， 或 者 查询 一 些 
manifiest 信 息 时 ， 就 会 有 相应 的 事件 发 送 到 定义 的 Endpoint 上 。 


接 下 来 看 一 下 事件 的 格式 和 其 中 的 主要 属性 : 


"events": [ 


"id": "70f44894-c4b4-4be8-9691-d37db77074cd", 
"timestamp": "2016-06-05T01:57:04.654256149Z", 


"action": "push", 
"target": { 
"mediaType": 


"application/vnd. docker .distribution.manifest.vi+json", 
"size": 45765, 
"digest": "Sha256:fdoaf29ba2ae034449bffb18dd6db2ed90d798464cc43 
aa81e63770713edaea8", 
"length": 45765, 


"repository": "test-user/hello-world", 


"url": 


i 


"http://registry-server/v2/test-user/hello-world/manifests/ 


sha256:fdOaf29ba2ae034449bffbi18dd6db2ed90d798464cc43aa81e 
63770713edaea8" 


"request": ( 


"9d3d837f -d7ed-4fa9-afb4-dda58687a6ce", 


"addr": "client-host:46504", 


"registry-server", 
n" PUT" P 
"docker/1.9.1 go/go1.4.2 git-commit/a34a1d5 kernel 


/4.2.0-35-generic os/linux arch/amd64" 


"igr: 
"host": 
"method": 
"useragent": 

}, 

"actor": { 
"name": 

h 


"source": ( 


"addr": 
"instanceID": 


"test-user" 


"8e14c2a190f2:5000", 


"c564003e-dd9b-4a9b-8a30-fe8564e97ba9" 


每 个 事件 的 payload， 都 是 一 个 定义 好 的 JSON 格 式 的 数据 。 


通知 系统 的 主要 属性 主要 包括 action ` target.mediaType ` 


target.repository ` target.url ` request.method ^ request.useragent ^ 


actorname 等 ， 参 见 表 18-1。 


属 性 
action 
target.mediaType 


terget.repository 


表 18-1 


string 


string 


通知 系统 的 主要 属性 


事件 所 关联 的 动作 类 型 ，pull 或 push 
时 间 payload ÆA, il apolication/octet-stream 等 


镜像 名 称 


target.url 
request.method 
request.useragent 


actor.name 


string 


事件 对 应 的 数据 地 址 ， 可 以 通过 这 个 URL 来 获取 此 事件 带 来 的 更 改 
HTTP 请 求 的 方法 

带 来 此 事 竺 的 客户 端 类 型 

发 起 此 次 动作 的 用 户 


18.6.2 ” ”Notification 的 使 用 场景 


理解 了 如 何 配置 Docker Registry v2 的 Notification、Endpoint， 以 及 
接收 到 的 Event 的 数据 格式 ， 我 们 就 可 以 很 方便 地 实现 一 些 个 性 化 的 需 
求 。 这 里 简单 列举 两 个 场景 ， 一 个 是 如 何 统计 镜像 的 上 传 、 下 载 次 
数 ， 万 便 了 解 镜 像 的 使 用 情况 ， 男 一 个 场景 是 对 服务 的 持续 部 著 ， 方 
便 管理 镜像 ， 参 见 图 18-2。 


计数 服务 显示 镜像 的 上 传 、 下 载 次 数 
Notification 
Docker =} SE 
Registry Server RE 


自动 部 署 
服务 根据 规则 用 上 传 上 的 镜像 部 署 服 务 


图 18-2 ”通知 系统 整合 持续 部 署 


1. 镜 像 上 传 、 下 载 计数 


很 钊 见 的 一 个 场景 是 根据 镜像 下 载 次 数 ， 回 用户 推荐 使 用 最 多 的 
镜像 ， 或 者 统计 镜像 更 新 的 频率 ， 以 便 了 解 用 户 对 镜像 的 维护 程度 。 


用 户 可 以 利用 Notification 的 功能 ， 定 义 自 己 的 计数 服务 ， 并 在 
Docker Registry 上 配置 对 应 的 Endpoint。 在 有 pull、push 动 作 发 生 时 ， 对 
相应 镜像 的 下 载 或 者 上 传 次数 进 行 祝 加， 达到 计数 效果 。 然 后 添加 一 
个 查询 接口 ， 供 用 户 查 看 用 户 镜 像 的 上 传 、 下 载 次 数 ， 或 者 提供 排行 
榜 等 扩展 服务 。 


2. 实 现 应 用 的 日 动 部 署 


在 这 个 场景 下 ， 可 以 在 新 的 镜像 push 到 Docker Registry 服 务 器 时 
候 ， 目 动 创建 或 者 更 新 对 应 的 服务 ， 这 样 可 以 快速 查看 新 镜像 的 运行 
效果 或 者 进行 集成 测试 。 用 户 还 可 以 根据 事件 中 的 相应 属性 ， 比 如 用 
尸 信 息 、 镜 像 名 称 等 ， 调 用 对 应 的 服务 部 署 接口 进行 目 动 化 部 署 操 
作 。 


18.7 “本章 小 结 


本 章 详细 介绍 了 使 用 Docker Registry 的 两 种 主要 方式 ， 通 过 容器 
方式 运行 和 通过 本 地 安 效 运行 并 注册 为 系统 服务 ， 以 及 添加 Nginx 反 问 
代理 ， 添 加 用 户 认证 功能 。 接 下 来 还 详细 介绍 了 Docker Registry 配 置 
文件 中 各 个 选项 的 侣 义 和 使 用 。 最 后 演示 如 何 通 过 脚本 来 实现 对 镜像 
的 批量 管理 ， 以 及 使 用 Registry 的 通知 系统 来 文 持 更 多 应 用 场景 。 读 着 
通过 本 章 的 学 习 ， 将 能 轻松 搭建 一 套 私 有 的 仓库 服务 环境 ， 并 对 其 进 


H 
行 管理 操作 。 


私有 仓库 服务 是 集中 存储 镜像 的 场所 ， 它 的 性 能 和 稳定 性 将 影响 
基于 Docker 容 器 的 开发 和 部 署 过 程 。 在 生产 环境 中 ， 笔 者 推荐 使 用 人 负 
载 均衡 来 提 融 仓库 服务 的 性 能 ， 还 可 以 利用 HAProxy 等 方式 对 仓库 服 
务 进行 容 蚀 。 同 时 ， 为 了 安全 考虑 ， 要 为 仓库 访问 局 用 HTTPS 等 加 密 
协议 来 确保 通信 的 安全 。 


第 19 草 ”安全 防护 与 配置 


Docker 是 基于 Linux 操 作 系统 实现 的 应 用 虚拟 化 。 运 行 在 容 右 内 的 
进程 ， 跟 运行 在 本 地 系统 中 的 进程 本 质 上 并 无 区 别 ， 配 置 不 合适 的 安 
全 策略 将 可 能 给 本 地 系统 带 来 安全 风险 。 因 此 ，Docker 的 安全 性 在 生 
产 环境 中 是 十 分 关键 的 衡量 因素 。 


出 


Docker 容 妖 的 安全 性 ， 很 大 程度 上 依赖 于 Linux 系 统 目 身 。 目 前 ， 
在 评估 Docker 的 安全 性 时 ， 主 要 考虑 下 面 儿 个 方面 : 


Linux 内 核 的 命名 空间 机 制 提供 的 容器 隔离 安全 ; 
Linux 控 制 组 机 制 对 容 右 资源 的 控制 能 力 安 

Linux 内 核 的 能 力 机 制 所 市 来 的 操作 权限 安全 ; 
:Docker 程 序 (特别 是 服务 端 ) 本 身 的 抗 攻击 性 ; 


.其 他 安全 增强 机 制 (包括 AppArmor、SELinux 等 ) 对 容器 安全 性 
的 影响 ; 


:通过 第 二 方 工 具 (如 Docker Bench 工 具 ) 对 Docker 环 境 的 安全 性 
进行 评估。 


本 章 束 针对 这 几 个 方面 进行 讨论 。 


19.1 命名 空间 隔离 的 安全 


Docker 容 颖 和 LXC 容 器 在 实现 上 很 相似 ， 所 提供 的 安全 特性 也 基 
本 一 致 。 当 用 docker run 命 令 启 动 一 个 容器 时 ，Docker 将 在 后 台 为 容器 
创建 一 个 独立 的 命名 空间 。 


命名 空间 提供 了 最 基础 也 是 最 直接 的 隔离 ， 在 容 右 中 运行 的 进程 
不 会 被 运行 在 本 地 主机 上 的 进程 和 其 他 容器 通过 正常 渠道 发 现 和 影 
响 。 


例如 ， 通 过 命名 空间 机 制 ， 每 个 容器 都 有 目 己 独 有 的 网 络 栈 ， 
味 看 它们 不 能 访问 其 他 容 右 的 套 接 字 (socket) 或 接口 。 当 然 ， 容 需 
默认 可 以 与 本 地 主机 网 络 连 通 ， 如 果 主 机 系统 上 做 了 相应 的 交换 设 
置 ， 容 右 可 以 像 跟 主 机 交互 一 样 和 其 他 容器 交互 。 局 动容 右 时 ， 指 定 
公共 端口 或 使 用 连接 系统 ， 容 器 可 以 相互 通信 了 (用 户 可 以 根据 配置 
来 限制 通信 的 策略 ) 


从 网 络 染 构 的 角度 来 看 ， 所 有 的 容 絮 实际 上 是 通过 本 地 主机 的 网 
桥接 口 (docker0) 进行 相互 通信 ， 整 像 物理 机 器 通过 物理 交换 机 通信 
一 样 o 


那么 ，Linux 内 核 中 实现 命名 空间 (特别 是 网 络 命名 空间 ) 的 机 制 
征 否 足够 成 熟 呢 ? 


Linux 内 核 从 2.6.15 版 本 〈2008 年 7 月 发 布 ) 开始 引入 命名 空间 ， 至 
今 经 历 了 数 年 的 演化 和 改进 ， 并 应 用 于 诸多 大 型 生产 系统 


实际 上 ， 命 名 空间 的 想法 和 设计 提出 的 时 间 要 更 早 ， 最 初 是 
OpenVZ 项 目的 重要 特性 。OpenVZ 项 目 早 在 2005 年 就 已 经 正式 发 布 ， 
其 设计 和 实现 更 加 成 熟 。 


当然 ， 与 虚拟 机 方式 相 比 ， 通 过 命名 空间 来 实现 的 隔离 并 不 是 那 
么 绝对 。 运 行 在 容器 中 的 应 用 可 以 直接 访问 系统 内 核 和 部 分 系统 
件 。 因 此 ， 用 户 必须 保证 容器 中 应 用 是 安全 可 信 的 〈 这 跟 保 证 运行 在 
系统 中 的 软件 是 可 信 的 一 样 ) ， 人 否则 本 地 系统 将 可 能 受到 威胁 ， 即 必 
须 保 证 镜像 的 来 源 和 目 身 可 靠 。 


Docker 目 1.3.0 版 本 起 对 镜像 管理 引入 了 签名 系统 ， 加 强 了 对 镜像 
全 性 的 防护 ， 用 户 可 以 通过 签名 来 验证 镜像 的 完整 性 和 正确 性 


19.2 ”控制 组 资产 控制 的 安全 


挥 制 组 古 Linux 容 器 机 制 中 的 另外 一 个 关键 组 件 ， 它 负 员 实现 资源 
的 审计 和 限制 。 


控制 组 机 制 的 相关 技术 出 现 于 2006 年 ，Linux 内 核 从 2.6.24 版 本 开 
台 正 式 引 入 该 技术 。 


24 FH PUT docker run 命 令 启 动 一 个 Docker 容 器 时 ，Docker 将 通过 
Linux 相 关 的 调用 ， 在 后 台 为 容器 创 建 一 个 独立 的 控制 组 策略 集合 ， 该 
集合 将 限制 容器 内 应 用 对 资源 的 消耗 。 


挥 制 组 提供 了 很 多 有 用 的 特性 。 它 确 你 各 个 容 右 可 以 公平 地 分 至 
主机 的 内 存 、CPU、 磁 表 IO 等 资源 ， 当 然 ， 更 重要 的 是 ， 通 过 控制 
组 ， 可 以 限制 容器 对 资源 的 占用 ， 确 你 了 当 某 个 容 絮 对 痪 源 消耗 过 大 
时 ， 不 会 影响 到 本 地 主机 系统 和 其 他 容器 。 


尽管 控制 组 不 负责 隔离 容器 之 间 相 互 访问 、 处 理 数据 和 进程 ， 但 
是 它 在 防止 恶意 攻击 特别 是 拒绝 服务 攻击 (DDoS) 方面 是 十 分 有 效 
HS e 


对 于 支持 多 用 户 的 服务 平台 (比如 公有 的 各 种 Paas、 容 器 云 ) 
上 上， 控制 组 尤其 重要 。 例 如 ， 当 个 别 应 用 容器 出 现 异 弟 的 时 候 ， 可 以 


保证 本 地 系统 和 其 他 容 郁 正 稍 运行 而 不 受 影响 ， 从 而 避免 引发 雪 
BB" KHE o 


19.3 ”内 核能 力 机 制 


能 力 机 制 (Capability) 是 Linux 内 核 一 个 强大 的 特性 ， 可 以 提供 
细 粒 度 的 权限 访问 控制 。 传 统 的 Unix 系 统 对 进程 权限 只 有 根 权限 (用 
户 id 为 0， 即 为 root 用 户 ) 和 非 根 权 限 (用 户 非 root 用 户 ) 两 种 粗 粒 度 的 
XA o 


Linux 内 核 目 2.2 版 本 起 文 持 能 力 机 制 ， 它 将 权限 划分 为 更 加 细 粒 
度 的 操作 能 力 ， 既 可 以 作用 在 进程 上 ， 也 可 以 作用 在 文件 上 。 


例如 ， 一 个 web 服务 进程 只 需要 绑 定 一 个 低 于 1024 的 端口 的 权 
限 ， 并 不 需要 完整 的 root 权 限 。 那 么 它 只 需要 被 授权 net_bind_service 能 
力 即 可 。 此 外 ， 还 有 很 多 其 他 的 类 似 能 力 来 避免 进程 获取 root 权 限 。 


默认 情况 下 ，Docker 局 动 的 容 妖 被 严格 限制 只 允许 使 用 内 核 的 一 
部 分 能 力 ， 包 括 chown dac override ` fowner ^ kill ` setgid ^ setuid ^ 
setpcap ^ net bind service ^ net raw ^ sys chroot ` mknod ` setfcap ^ 


š " Vara Ar 
audit write, SES ° 


使 用 能 力 机 制 对 加 强 Docker 容 器 的 安全 性 有 很 多 好 处。 通常 ， 在 
服务 器 上 会 运行 一 堆 需 要 特权 权限 的 进程 ， 包 括 ssh、cron ` syslogd ^ 
硬件 管理 工具 模块 (例如 负载 模块 、 网 络 配置 工具 ， 等 等 。 容 器 跟 


进程 是 不 同 的 ， 因 为 几乎 所 有 的 特权 进程 都 由 容 舌 以 外 的 文 持 系 
统 来 进行 管理 ， 例 如 : 


下 


ssh 访问 被 答 主 主机 上 的 ssh 服 务 来 管理 ; 


-cron 通 第 应 该 作为 用 户 进 程 执行 ， 权 限 交 给 使 用 它 服 务 的 应 用 来 
处 理 ; 


.日志 系 统 可 由 Docker 或 第 三 方 服务 管理 ; 


- 便 件 管理 无 关 紧 要 ， 容 器 中 也 束 无 需 执 行 udevd 以 及 类 似 服 务 ; 


网 络 管理 也 者 在 主机 上 设置 ， 除 非特 殊 和 需求， 容器 不 需要 对 网 络 
进行 配置 。 


从 上 面 的 例子 可 以 看 出 ， 大 部 分 情况 下 ， 容 需 并 不 需要 “真正 
的 ”root 权 限 ， 容 器 只 需要 少数 的 能 力 即 可 。 为 了 加 强 安全 ， 容 器 可 以 
禁用 一 些 没 必要 的 权限 。 包 括 : 


- 蔡 止 任何 文件 挂 载 操作 ; 
-禁止 直接 访问 本 地 主机 的 套 接 字 


- 茜 止 访问 一 些 文件 系统 的 操作 ， 比 如 创建 新 的 设备 、 修 改 文件 属 


禁止 模块 加 载 。 


这 样 ， 整 算 攻 击 者 在 容 絮 中 取得 了 root 权 限 ， 也 不 能 获得 本 地 主 
机 的 较 高 权限 ， 能 进行 的 破坏 也 有 限 。 


不 恰当 地 分 配 了 内 核能 力 ， 会 导致 容 强 内 应 用 获取 破坏 本 地 系统 
的 权限 。 例 如 ， 早 期 的 Docker 版 本 曾经 不 恰当 的 继承 
CAP_DAC_READ_SEARCH 能 力 ， 导 致 容 需 内 进程 可 以 通过 系统 调用 
访问 到 本 地 系统 的 任意 文件 目录 。 


默认 情况 下 ，Docker 采 用 白 名 单机 制 ， 禁 用 了 必需 的 一 些 能 力 之 
外 的 其 他 权限 ， 目 前 支持 CAP_CHOWN 、CAP_DAC_OVERRIDE ^ 
CAP FSETID ` CAP_FOWNER ` CAP. MKNOD ` CAP. NET RAW ^ 
CAP SETGID ` CAP. SETUID ` CAP. SETFCAP ` CAP. SETPCAP ` 
CAP NET BIND SERVICE ` CAP. SYS CHROOT ` CAP KILL ` 
CAP AUDIT WRITEZS ° 


当然 ， 用 户 也 可 以 根据 目 身 需求 来 为 Docker 容 万 局 用 额外 的 权 
限 。 


19.4 Docker 服 务 端 的 防护 


使 用 Docker 容 器 的 核心 是 Docker 服 务 端 。Docker 服 务 的 运行 目前 
还 需要 root 权 限 的 文 持 ， 因 此 服务 端 安全 性 十 分 关键 。 


首先 ， 必 须 确保 只 有 可 信 的 用 户 才 可 以 访问 到 Docker 服 务 。 
Docker 人 允许 用 户 在 主机 和 容器 间 共 译文 件 来 ， 同 时 不 需要 限制 容器 的 
访问 权限 ， 这 束 容 易 让 容 郁 突破 资源 限制 。 例 如 ， 恶 意 用 户 局 动容 内 
的 时 候 将 主机 的 根 目录 /映射 到 容 需 的 /host 目 永 中 ， 那 么 容 希 理论 上 束 
可 以 对 主机 的 文件 系统 进行 任意 修改 了 。 事 实 上 ， 几 乎 所 有 虚拟 化 系 
统 都 介 许 类 似 的 资源 共 译 ， 而 没 法 阻止 恶意 用 户 共 至 主机 根 文件 系统 
到 虚拟 机 系统 。 


这 将 会 造成 很 站 重 的 安全 后 采 。 因 此 ， 当 提供 容 右 创建 服务 时 
(例如 通过 一 个 Web 服 务 器 ) ， 要 更 加 注意 进行 参数 的 安全 检查 ， 防 
止 屎 意 的 用 户 用 特定 参数 来 创建 一 些 破 坏 性 的 容器 。 


为 了 加 强 对 服务 端的 保护 ，Docker 的 REST API (客户 端 用 来 跟 服 
务 端 通信 的 接口 ) 在 0.5.2 之 后 使 用 本 地 的 Unix 套 接 字 机 制 蔡 代 了 原先 
绑 定 在 127.0.0.1 上 的 TCP 套 接 字 ， 因 为 后 者 容易 遭受 跨 站 脚本 攻击 。 
现在 用 户 使 用 Unix 权 限 检查 来 加 强 套 接 字 的 访问 安全 。 


用 户 仍 可 以 利用 HTTP 提 供 REST API 访 问 。 建 议 使 用 安全 机 制 ， 
确保 只 有 可 信 的 网 络 或 VPN 网 络 ， 或 证 书 保 护 机 制 例如 受 保护 的 
stunnel 和 ssl 认 证 ) 下 的 访问 可 以 进行 。 此 外 ， 还 可 以 使 用 HTTPS 和 证 
书 来 加 强 保护 。 


最 近 改 进 的 Linux 命 名 空间 机 制 将 可 以 实现 使 用 非 root 用 户 来 运行 
全 功能 的 容 右 。 这 将 从 根本 上 解决 了 容器 和 主机 之 间 共 至 文件 系统 
引起 的 安全 问题 。 


目前 ，Docker 目 身 改 进 安全 防护 的 目标 是 实现 以 下 两 个 重要 安全 
特性 : 


.将 容 各 的 root 用 户 映 届 到 本 地 主机 上 的 非 root 用 户 ， 减 轻 容 硕 和 主 
机 之 间 因 权限 提升 而 引起 的 安全 问题 ; 


允许 Docker 服 务 闻 在 非 root 权 限 下 运行 ， 利 用 安全 可 靠 的 子 进程 
来 代理 执行 需要 特权 权限 的 操作 。 这 些 子 进程 将 只 允许 在 限定 范围 内 
进行 操作 ， 例 如 仅仅 负责 虚拟 网 络 设 定 或 文件 系统 管理 、 配 置 操作 


ZE o 
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19.5 更 多 安全 特性 的 使 用 


除了 能 力 机 制 之 外 ， 还 可 以 利用 一 些 现 有 的 安全 软件 或 机 制 来 增 
强 使 用 Docker 的 安全 性 ， 例 如 TOMOYO、AppArmor、SELinux、 


GRSEC 等 。 


Docker 当 前 默认 只 局 用 了 能 力 机 制 。 用 户 可 以 选择 启用 更 多 的 安 
全 方案 来 加 强 Docker 主 机 的 安全 ， 例 如 : 


.在 内 核 中 局 用 GRSEC 和 PAX， 这 将 增加 更 多 的 编译 和 运行 时 的 安 
全 检查 ; 并 且 通 过 地 址 随机 化 机 制 来 避免 恶意 探测 等 。 局 用 该 特性 不 
需要 Docker 进 行 任何 配置 ; 


-使 用 一 些 有 增强 安全 特性 的 容 絮 模板 ， 比 如 市 AppArmor 的 模板 
和 Redhat 市 SELinux 策 略 的 模板 。 这 些 模板 提供 了 额外 的 安全 特性 ; 


用 户 可 以 目 定 义 更 加 严格 的 访问 控制 机 制 来 定制 安全 党 略 。 


此 外 ， 在 将 文件 系统 挂 载 到 容器 内 部 时 候 ， 可 以 通过 配置 只 读 
(read-only) 模式 来 避免 容器 内 的 应 用 通过 文件 系统 破坏 外 部 环境 ， 
特别 是 一 些 系统 运行 状态 相关 的 目录 ， 包 括 但 不 限 
于 /proc/sys、/proc/irq、/proc/bus 等 等 。 这 样 ， 容 器 内 应 用 进程 可 以 获 
取 所 需要 的 系统 信息 ， 但 无 法 对 它们 进行 修改 。 


19.6 ”使 用 第 三 方 检测 工具 


前 面 笔 者 介绍 了 大 量 增 强 Docker 安 全 性 的 手段 。 要 逐一 去 检查 会 
比较 繁琐 ， 好 在 已 经 有 了 一 些 进 行 目 动 化 检查 的 开源 工具 ， 比 较 出 名 
的 有 Docker Bench 和 clair。 下 面 分 别 介绍 。 


19.6.1 Docker Bench 


Docker Bench 是 一 个 开源 项 目 ， 代 码 托管 在 


https://github.com/docker/docker-bench-security ° 


该 项 目 按 照 互 联网 安全 中 心 (Center for Internet Security, CIS) 
对 于 Docker 1.11+ 的 安全 规范 进行 一 系列 环境 检查 ， 发 现 当 前 Docker 部 
署 在 配置 、 安 全 等 方面 的 潜在 问题 。 


CIS Docker 规 范 在 包括 主机 配置 、Docker 引 擎 、 配 置 文件 权限 、 
镜像 管理 、 容 器 运行 时 环境 、 安 全 项 等 六 大 方面 都 进行 了 相关 的 约束 
和 规定 。 推 荐 大 家 在 生产 环境 中 使 用 Docker 时 ， 采 用 该 规范 作为 部 署 
的 安全 标准 。 


Docker Bench 上 自身 也 提供 了 Docker 镜 像 ， 采 用 如 下 命令 ， 可 以 快 
速 对 本 地 环境 进行 安全 检查 。 


$ docker run -it --net host --pid host --cap-add audit control \ 
-v /var/lib:/var/lib \ 
-v /var/run/docker.sock:/var/run/docker.sock N 
-v /usr/lib/systemd:/usr/lib/systemd N 
-v /etc:/etc --label docker bench security \ 
docker/docker-bench-security 


dk dk dk dt db db 


Docker, 


Inc. 


Docker Bench for Security v1.1.0 


(c) 2015- 


Checks for dozens of common best-practices around deploying Docker containers 


in production. 
# Inspired by the CIS Docker 1.11 Benchmark: 
# https://benchmarks.cisecurity.org/downloads/show-single/index.cfm? 
file-docker16.110 


Initializing Sun Sep 7 03:34:36 UTC 2016 
1 - Host Configuration 


[INFO] 
[WARN] 
[PASS] 
[PASS] 
[WARN] 
[WARN] 
[INFO] 


[INFO] 
[INFO] 
[WARN] 
[WARN] 
[WARN] 
[INFO] 
[INFO] 
[INFO] 
[INFO] 
[WARN] 


y 
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民情 
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1.12 - 


Create a separate partition for containers 

Use an updated Linux Kernel 

Remove all non-essential services from the host - Network 
Keep Docker up to date 

* Using 1.10.3, when 1.12.0 is current as of 2016-07-28 

* Your operating system vendor may provide support and security 
maintenance for docker 

Only allow trusted users to control Docker daemon 

docker :x:999: ubuntu 

Failed to inspect: auditctl command not found. 

Failed to inspect: auditctl command not found. 

Failed to inspect: auditctl command not found. 

Audit Docker files and directories - docker.service 

File not found 

Audit Docker files and directories - docker.socket 

File not found 

Failed to inspect: auditctl command not found. 


输出 结果 中 ， 带 有 不 同 的 级 别 ， 说 明 问 题 的 严重 程度 。 一 般 要 尽 
量 避 免 出 现 WARN 或 以 上 的 问题 。 


19.6.2 


clair 


CoreOS HIRA fi H1 B']clair S SES] E88 EJ XC EE ER ETT T2388 A TT A ETE 
在 漏洞 ， 项 目地 址 为 https:/github.comy/coreos/clair ° 


读者 可 以 通过 如 下 命令 快速 体验 : 


$ curl -L https://raw.githubusercontent.com/coreos/clair/v1.2.2/docker-compose. 
yml -o $HOME/docker-compose.yml 

$ mkdir $HOME/clair_config 

$ curl -L https://raw.githubusercontent.com/coreos/clair/v1.2.2/config.example. 
yaml -o $HOME/clair_config/config.yaml 

$ $EDITOR $HOME/clair_config/config.yaml # Edit database source to be 

postgresql:// 
postgres:password@postgres:5432?sslmode=disable 

$ docker-compose -f $HOME/docker-compose.yml up -d 


19.7 “本草 小 结 


总 体 来 看 ， 基 于 Linux 上 成 熟 的 安全 机 制 以 及 结合 Apparmor、 
SELinux、GRSEC 等 安全 机 制 ， 可 以 很 好 地 保证 Docker 容 器 的 安全 。 


但 是 任何 技术 层面 实现 的 安全 ， 都 需要 合理 的 使 用 才能 得 到 巩 
回 ， 竺 别 是 对 于 生产 系统 ， 可 能 遭遇 未 知 的 安全 风险 ， 一 定 要 配合 完 
善 的 监控 系统 来 加 强 管理 。 


在 使 用 Docker 过 程 中 ， 对 于 安全 问题 需要 注意 如 下 几 方 面 : 


-在 使 用 Docker 容 右 运 行 应 用 的 时 候 ， 一 定 要 牢记 容器 目 映 所 提供 
的 隔离 性 其 实 并 没有 那么 完善 ， 需 要 加 强 对 容 志 内 应 用 的 安全 审查 
要 时 刻 牢记 ， 容 右 即 应 用 ， 原 先 保 障 应 用 安全 的 各 种 手段 ， 痢 可 以 合 
理 地 借鉴 利用 。 


:采用 专用 的 服务 絮 来 运行 Docker 服 务 端 和 相关 的 管理 服务 ， 如 ssh 
监控 和 进程 监控 、 管 理工 具 nrpe、collectd 等 ， 并 对 该 服务 器 启用 最 高 
级 别 的 安全 机 制 ， 而 把 其 他 业务 服务 都 放 到 容 絮 中 去 运行 。 


-将 运行 Docker 容 故 的 机 器 划分 为 不 同 的 组 ， 互 相信 任 的 机 器 放 到 
同一 个 组 内 ; 组 之 间 进 行 安全 隔离 ;， 同 时 进行 定期 的 安全 检 


E 


. 随 着 容器 大 规模 地 使 用 和 集成 ， 甚 至 组 成 容器 集群 。 需 要 考虑 在 
容器 网 络 上 进行 必 备 的 安全 防护 ， 避 免 诸 如 DDoS、ARP 攻 击 、 规 则 表 
攻击 等 网 络 安全 威胁 ， 这 也 是 生产 环境 需要 关注 的 重要 问题 。 


第 20 章 ”高 级 网 络 功 能 
本 章 将 介绍 Docker 中 关于 网 络 的 高 级 知识 ， 包 括 网 络 的 启动 和 配 
置 参数 、DNS 的 使 用 配置 、 容 器 访问 和 端口 映射 的 相关 实现 。 


接 下 来 ， 介 绍 在 一 些 具 体 场景 中 ，Docker 支 持 的 网 络 定制 配置 ， 
以 及 通过 Linux 命 令 来 调整 、 补 充 、 甚 至 替换 Docker 默 认 的 网 络 配置 。 


最 后 介绍 关于 Docker 网 络 的 一 些 工 具 和 项 目 。 


20.1 网络 局 动 与 配置 参数 


Docker 启 动 时 会 在 主机 上 自动 创建 一 个 docker0 虚 拟 网 桥 ， 实 际 上 
是 一 个 Linux 网 桥 ， 可 以 理解 为 一 个 软件 交换 机 ， 它 会 在 挂 载 其 上 的 接 
口 之 间 进 行 转发 ， 如 图 20-1 所 示 。 


vethXX| vethY Y. vethZZ 


docker0 
3172.17.42.1/16 


宿主 主机 


[20-1 Docker% 


同时 ，Docker 随 机 分 配 一 个 本 地 未 占用 的 私有 网 段 (在 RFC1918 中 
定义 ) 中 的 一 个 地 址 给 docker0 接 口 。 比 如 典型 的 172.17.42.1， 掩 码 为 
255.255.0.0。 此 后 启动 的 容器 内 的 网 口 也 会 自动 分 配 一 个 同一 网 段 

(172.17.0.0/16) 的 地 址 。 


当 创建 一 个 Docker 容 器 的 时 候 ， 同 时 会 创建 了 一 对 veth pair 接 口 
( 当 数据 包 发 送 到 一 个 接口 时 ， 另 外 一 个 接口 也 可 以 收 到 相同 的 数据 
包 ) 。 这 对 接口 一 端 在 容器 内 ， 即 eth0;， 另 一 端 在 本 地 并 被 挂 载 到 
docker0 网 桥 ， 名 称 以 veth 开 头 (例如 vethAQI2QT) 。 通 过 这 种 方式 ， 
主机 可 以 跟 容 器 通信 ， 容 器 之 间 也 可 以 相互 通信 。 如 此 一 来 ，Docker 
就 创建 了 在 主机 和 所 有 容器 之 间 一 个 虚拟 共享 网 络 。 


下 面 是 跟 Docker 网 络 相关 的 命令 参数 。 其 中 有 些 命令 选项 只 有 在 
Docker 服 务 局 动 的 时 候 才 能 配置 ， 而 且 不 能 马上 生效 : 


定 容 需 挂 载 的 网 桥 ; 


--bipeCIDR— —E til docker0H 385 ; 


-H SOCKET...or--host- SOCKET... Docker 服 务 端 接收 命令 的 通 


.--icc=truelfalse 是 否 文 持 容 佛 之 间 进 行 通信 ，; 


局 用 net.ipv4.ip_forward， 即 打开 转发 功 


--ip-forward-true|false 


unb 
GG 


--iptables=true|false 一 一 禁止 Docker 深 加 iptables 规 则 ，; 


--mtu=BYTES 一 一 容器 网 络 中 的 MTU ° 


下 面 2 个 命令 选项 既 可 以 在 启动 服务 时 指定 ， 也 可 以 Docker 容 屁 启 
动 (docker run) 时 候 指 定 。 在 Docker 服 务 启动 的 时 候 指 定 则 会 成 为 默 
认 值 ， 后 续 执 行 docker run 时 可 以 玫 盖 设置 的 默认 值 。 


:--dns=IP_ADDRESS... 一 一 使 用 指定 的 DNS 服 务 器 ; 


--dns-search-DOMAIN... EXEDNS1S RH o 


最 后 这 些 选项 只 能 在 docker run 执 行 时 使 用 ， 因 为 它 是 针对 容器 的 
等 性 内 容 : 


.-h HOSTNAME or--hostname-HOSTNAME -配置 容器 主机 名 


添加 到 另 一 个 容 需 的 连 


.--link=CONTAINER_NAME: ALIAS 
接 ; 


---net-bridge|none|container: 


Pe E AARTEEN; 


NAME_or_IDjhost|user_defined_network 


H 


-p SPEC or--publish=SPEC 一 一 映射 容器 端口 到 宿主 主机 .; 


BERE ds A m O ETE 3E EL o 


-P or--publish-all-true|false 


其 中 ，--net 先 项 文 持 五 种 模式 ， 如 下 所 未: 


--net=bridge 一 一 默认 配置 。 为 容器 创建 独立 的 网 络 命名 空间 ， 
配 网 卡 、IP 地 址 等 网 络 配 置 ， 并 通过 veth 接 口 对 将 容 絮 挂 载 到 一 个 虚拟 
网 桥 (默认 为 docker0) E; 


为 容器 创建 独立 的 网 络 命 名 空间 ， 但 不 进行 网 络 配 
置 ， 即 容器 内 没有 创建 网 卡 、IP 地 址 等 ; 


--net-none 


x, 


--net=container: NAME or ID— 意味 着 新 创建 的 容器 共享 指定 
的 已 存在 容器 的 网 络 命名 空间 ， 两 个 容器 内 的 网 络 配置 共享 ， 但 其 他 
资源 (进程 空间 、 文 件 系统 等 ) 还 是 相互 隔离 的 ; 


意味 着 不 为 容 右 创建 独立 的 网 络 命名 空间 ， 容 器 内 
看 到 的 网 络 配 置 (网 卡 信 息 、 路 由 表 、Iptables 规 则 等 ) 均 与 主机 上 保 
持 一 致 。 注 意 其 他 资源 还 是 与 主机 隔离 的 ; 


:--net-host 


用 户 自 行 用 network 相 关 命 令 创建 
一 个 网 络 ， 同 一 个 网 络 内 的 容器 彼此 可 见 ， 可 以 采用 更 多 类 型 的 网 络 
插件 。 


--net-user defined network 


20.2 ”配置 容器 DNS 和 主机 名 


Docker 文 持 目 定义 容 右 的 主机 名 和 DNS 配 置 。 
1. 相 关 配 置 文件 


实际 上 ， 容 咒 中 主机 名 和 DNS 配置 信息 都 是 通过 三 个 系统 配置 文 
件 来 维护 的 : /etc/resolv.conf、/etc/hostname 和 /etc/hosts ° 


启动 一 个 容器 ， 在 容器 中 使 用 mount 命 令 可 以 看 到 这 三 个 文件 挂 
载 信息 : 


$ docker run -it ubuntu 
root@75dbd6685305:/# mount 


/dev/mapper/ubuntu--vg-root on /etc/resolv.conf type ext4 (rw,relatime,errors- 
remount-ro,data-ordered) 

/dev/mapper/ubuntu--vg-root on /etc/hostname type ext4 (rw,relatime,errors- 
remount-ro,data-ordered) 

/dev/mapper/ubuntu--vg-root on /etc/hosts type ext4 (rw,relatime,errors-remount- 
ro, data-ordered) 


HH, /etc/resolv.conf X FF TEGI E ZE ss] fx, ERA zT 
机 /etc/resolv.conf 文 件 内 容 保持 一 致 : 


rootQ75dbd6685305:/& cat /etc/resolv.conf 

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 8.8.8.8 

search my-docker-cloud.com 


/etc/hosts 文 件 中 默认 只 记录 了 容器 目 身 的 一 些 地 址 和 名 称 : 


rootQ75dbd6685305:/& cat /etc/hosts 
172.17.0.2 75dbd6685305 

DI localhost ip6-localhost ip6-loopback 
fe00::0 ip6-localnet 

ff00::0 ip6-mcastprefix 

ff02::1 ip6-allnodes 

ff02::2 ip6-allrouters 

127.0.0.1 localhost 
/etc/hostname 文 件 则 记录 了 容器 的 主机 名 。 
root@75dbd6685305:/# cat /etc/hostname 
75dbd6685305 


2. 88 AE RU EF 


Docker 1.2.07F 48 5C FE£E32 11 FJ Zen Hl B 


*H/etc/hosts, /etc/hostnameffll/etc/resolve.conf X. fF ° 


[Hiep ET, HXESTIBJS SSH DRE, TEsSZA IL EX ER 
局 后 并 不 会 被 保存 下 来 。 也 不 会 被 docker commit 提 区 。 


如 条 用 户 想 要 目 定义 容 吉 的 配置 ， 可 以 在 创建 或 局 动容 禹 时 利用 
下 面 的 参数 指定 : 


m 


.指定 主机 名 -h HOSTNAME EE --hostname-HOSTNAME ° iX E 
器 的 主机 名 ， 它 会 被 写 到 容器 内 的 /etc/hostname 和 /etc/hosts。 但 这 个 主 
机 名 只 有 容器 内 能 看 到 ， 在 容器 外 部 则 看 不 到 ， 既 不 会 在 docker ps 中 


显示 ， 也 不 会 在 其 他 的 容 絮 的 /etc/hosts 看 到 。 


.记录 其 他 容器 主机 名 --link=CONTAINER_NAME: ALIAS ° m 
会 在 创建 容器 的 时 候 ， 添 加 一 个 所 连接 容器 的 主机 名 到 容器 
内 /etc/hosts 文 件 中 。 这 样 ， 新 创建 容器 可 以 直接 使 用 主机 名 来 与 所 连 


:指定 DNS 服 务 器 --dns=IP_ADDRESS。 添 加 DNS 服 务 器 到 容器 
的 /etc/resolv.conf 中 ， 容 姻 会 用 指定 的 服务 絮 来 解析 所 有 不 在 /etc/hosts 
中 的 主机 名 。 


-指定 DNS 搜 索 域 --dns-search=DOMAIN。 设 定 容 器 的 搜索 域 ， 当 
设 定 搜索 域 为 .example.com 时 ， 在 搜索 一 个 名 为 host 的 主机 时 ，DNS 不 
仅 搜索 host， 还 会 搜索 host.example.com。 


20.3 ZAR TE S 


容器 的 访问 控制 主要 通过 Linux 上 的 iptables 防 火 墙 软件 来 进行 管理 
和 实现 。iptables 十 Linux 系 统 流行 的 防火 墙 软件 ， 在 大 部 分 发 行 版 中 者 
HUE 


o 


1. 容 项 访问 外 部 网 络 


从 前 面 的 描述 中 ， 我 们 知道 容 右 上 默认 指定 了 网 关 为 docker0 网 桥 上 
的 docker0 内 部 接口 。docker0 内 部 接口 同时 也 是 宿主 机 的 一 个 本 地 接 
口 。 因 此 ， 容 需 芍 认 情 况 下 征 可 以 访问 到 入 主机 本 地 的 。 


更 进一步 ， 容 器 要 想 通 过 宿主 机 访问 到 外 部 网 络 ， 需 要 和 宿主 机 进 


在 宿主 机 Linux 系 统 中 ， 检 查 转 发 是 否 打开 : 


$ sudo sysctl net.ipv4.ip forward 


如 果 为 0， 说 明 没 有 开局 转发 ， 则 需要 手动 打开 : 


$ sudo sysctl -w net.ipv4.ip forward-1 


更 简单 的 ， 在 启动 Docker 服 务 的 时 候 设 定 --ip-forward=true， 
Docker 服 务 会 自动 打开 宿主 机 系统 的 转发 服务 。 


2. 容 器 之 间 的 访问 


容器 之 间 相 互 访问 ， 和 需要 两 方面 的 文 持 : 


网络 拓 扑 是 否 已 经 连通 。 上 默认 情况 下 ， 所 有 容器 都 会 连接 到 
docker0 网 桥 上 ， 这 意味 着 默认 情况 下 拓扑 是 互通 的 ; 


-本 地 系统 的 防火 墙 软件 iptables 十 否 允 许 访问 通过 。 这 取决 于 防火 
省 的 默认 规则 是 允许 〈 大 部 分 情况 ) 还 是 禁止 。 


下 面 分 两 种 情况 介绍 容器 之 间 的 访问 。 
(1) 访问 所 有 端口 


当 启 动 Docker 服 务 时 候 ， 默 认 会 添加 一 条 “允许 ”转发 策略 到 
iptables 的 FORWARD 链 上 “。 通 过 配置 --icc=truelfalse (默认 值 为 true) 
参数 可 以 控制 默认 的 策略 。 


为 了 安全 考虑 ， 可 以 在 Docker 配 置 文件 中 配置 DOCKER_OPTS=-- 
icc=false 来 默认 禁止 容 右 之 则 的 相互 访问 。 


同时 ， 如 果 启 动 Docker 服 务 时 手动 指定 --iptables=false 参 数 则 不 会 
修改 答 主 机 系统 上 的 iptables 规 则 。 


(2) 访问 指定 端口 


在 通过 -icc=false 禁 止 容器 间 相 互 访 问 后 ， 仍 可 以 通过 -- 
link=CONTAINER_NAME: ALIAS 选 项 来 允许 访问 指定 容器 的 开放 端 
O o 


例如 ， 在 启动 Docker 服 务 时 ， 可 以 同时 使 用 icc=false--iptables=true 
参数 来 配置 容 絮 间 禁 止 访问 ， 并 人 允许 Docker 目 动 修改 系统 中 的 iptables 
规则 。 


此 时 ， 系 统 中 的 iptables 规 则 可 能 钙 类 似 如 下 规则 ， 茶 止 所 有 转发 


= 
wl 


$ sudo iptables -nL 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 
DROP all -- 0.0.0.0/0 0.0.0.0/0 


之 后 ， 启 动容 器 (dockerrun) 时 使 用 -- 
link=CONTAINER_NAME: ALIAS 选 项 。Docker 会 在 iptable 中 为 两 个 
互联 容器 分 别 添 加 一 条 ACCEPT 规 则 ， 人 允许 相互 访问 开放 的 端口 ( 取 
决 于 Dockerfile 中 的 EXPOSE 行 ) 。 


此 时 ，iptables 的 规则 可 能 是 类 似 如 下 规则 : 


$ sudo iptables -nL 


Chain FORWARD (policy ACCEPT) 


target prot opt source destination 

ACCEPT tcp -- 4172.17.0.2 172.17.0.3 tcp spt:80 
ACCEPT tcp -- 4172.17.0.3 172.17.0.2 tcp dpt:80 
DROP all -- 0.0.0.0/0 0.0.0.0/0 


Qux 


--link-xCONTAINER NAME: ALIAS FH BJCONTAINER NAME H 
前 必须 是 Docker 目 动 分 配 的 容器 名 ， 或 使 用 --name 参 数 指定 的 名 字 ° 
不 能 为 容器 -h 参 数 配 置 的 主机 名 。 


~ 


20.4 BRE O PE 35 DIL) SERT 


默认 情况 下 ， 容 器 可 以 主动 访问 到 外 部 网 络 的 连接 ， 但 是 外 部 网 络 
无 法 访问 到 容 禹 。 


1. 容 器 访问 外 部 实现 


假设 容器 内 部 的 网 络 地 址 为 172.17.0.2， 本 地 网 络 地 址 为 10.0.2.2。 
容器 要 能 访问 外 部 网 络 ， 源 地 址 不 能 为 172.17.0.2， 需 要 进行 源 地 址 映射 
(Source NAT, SNAT) ， 修 改 为 本 地 系统 的 IP 地 址 10.0.2.2。 


映射 是 通过 iptables 的 源 地 址 伪装 操作 实现 的 。 


查看 主机 nat 表 上 POSTROUTING 链 的 规则 。 该 链 负 责 网 包 要 离开 主 
机 前 ， 改 写 其 源 地 址 。 


$ sudo iptables -t nat -nvL POSTROUTING 
Chain POSTROUTING (policy ACCEPT 12 packets, 738 bytes) 
pkts bytes target prot opt in out source destination 


0 © MASQUERADE all -- * !dockerO 172.17.0.0/16 0.0.0.0/0 


其 中 ， 上 述 规 则 将 所 有 源 地 址 在 172.17.0.0/16 网 段 ， 且 不 是 从 
docker0 接 口 发 出 的 流量 ( 即 从 容器 中 出 来 的 流量 ) ， 动 态 伪装 为 从 系统 
网 卡 发 出 。MASQUERADE 行 动 跟 传统 SNAT 行 动 相 比 ， 好 处 是 它 能 从 网 
卡 动态 获取 地 址 。 


2. 外 部 访问 容 右 实现 


容器 允许 外 部 访问 ， 可 以 在 docker run 时 候 通 过 -p 或 -P 参 数 来 启用 。 


不 管用 那 种 办 法 ， 其 实 也 是 在 本 地 的 iptable 的 nat 表 中 添加 相应 的 规 
则 ， 将 访问 外 部 IP 地 址 的 网 包 进 行 日 标 地 址 DNAT， 将 目标 地 址 修改 为 
容器 的 IP 地 址 。 


以 一 个 开放 80 端 口 的 Web 容 器 为 例 ， 使 用 -P 时 ， 会 自动 映射 本 地 
49000~49900 范 文 内 的 端口 随机 端口 到 容器 的 80 端 口 : 


$ iptables -t nat -nvL 


Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 

pkts bytes target prot opt in out source destination 
567 30236 DOCKER all -- * ul 0.0.0.0/0 0.0.0.0/0 

ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prot opt in out source destination 
0 © DNAT tcp --  !dockerO * 0.0.0.0/0 0.0.0.0/0 
tcp dpt:49153 to:172.17.0.2:80 


可 以 看 到 ，nat 表 中 涉及 两 条 链 ，PREROUTING 链 负责 包 到 达 网 络 
接口 时 ， 改 写 其 目的 地 址 。 其 中 规则 将 所 有 流量 都 扔 到 DOCKER 链 。 而 
DOCKER 链 中 将 所 有 不 是 从 docker0 进 来 的 网 包 (意味 着 不 是 本 地 主机 产 

生 ) ， 将 目标 端口 为 49153 的 ， 修 改 目 标 地 址 为 172.17.0.2， 目 标 端口 修 
改 为 80 ° 


使 用 -p 80: 80 时 ， 与 上 面 类 似 ， 只 是 本 地 端口 也 为 80: 


$ iptables -t nat -nvL 


Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 
pkts bytes target prot opt in out source destination 
567 30236 DOCKER all i id 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prot opt in out source destination 
0 © DNAT tcp --  !dockerO * 0.0.0.0/0 0.0.0.0/0 
tcp dpt:80 to:172.17.0.2:80 


:这 里 的 规则 映射 了 0.0.0.0， 意 味 着 将 接受 主机 来 自 所 有 网 络 接 口上 
的 流量 。 用 户 可 以 通过 -p IP: host_port: container_port 或 -p IP: : port 来 
虽 定 绑 定 的 外 部 网 络 接口 ， 以 制定 更 严格 的 访问 规则 |; 


:如 有 条 硕 望 映射 永久 绑 定 到 某 个 固定 的 了 地址 ， 可 以 在 Docker 配 置 文 
件 /etc/default/docker 中 指定 DOCKER_OPTS="--ip=IP_ADDRESS"， 之 后 
重启 Docker 服 务 即 可 生效 。 


20.5 配置 docker0 网 桥 


Docker 服 务 默 认 会 创建 一 个 名 称 为 docker0 的 Linux 网 桥 (其 上 有 
一 个 docker0 内 部 接口 ) ， 它 在 内 核 层 连通 了 其 他 的 物理 或 虚拟 网 卡 ， 
这 束 将 所 有 容 侣 和 本 地 主机 都 放 到 同一 个 物理 网 络 。 用 户 使 用 Docker 
创建 多 个 上 自 定 义 网 络 时 可 能 会 出 现 多 个 容器 网 桥 。 


Docker 默 认 指 定 了 docker0 接 口 的 JP 地址 和 子 网 掩 码 ， 让 主机 和 容 
器 之 间 可 以 通过 网 桥 相 互通 信 ， 它 还 给 出 了 MTU (接口 允许 接收 的 最 
大 传输 单元 ， 通 常 是 1500 字 节 ， 或 箱 主 主机 网 络 路 由 上 支持 的 肘 认 
值 。 这 些 值 都 可 以 在 服务 启动 的 时 候 进 行 配置 : 


--bip=CIDR 一 一 IP 地 址 加 掩 码 格式 ， 例 如 192.168.1.5/24; 
--mtu-BYTES— —/8 zz EAT B'JDocker mtu 配 置 。 


也 可 以 在 配置 文件 中 配置 DOCKER_OPTS， 然 后 重启 服务 。 由 于 
目前 Docker 网 桥 是 Linux 网 桥 ， 用 户 可 以 使 用 brctl show 来 查看 网 桥 和 端 
口 连接 信息 : 
$ sudo brctl show 
bridge name bridge id STP enabled interfaces 


dockerO 8000.3a1d7362b4ee no veth65f9 
vethdda6 


Qux 


brctl 命 令 如 果 系 统 中 没有 目 市 ， 可 以 使 用 sudo apt-get install 
bridge-utils 来 安装 Debian、Ubuntu 系 列 系统 ) ° 


每 次 创建 一 个 新 容器 的 时 候 ，Docker 从 可 用 的 地 址 段 中 选择 一 个 
空 采 的 耳 地 址 分 配给 容器 的 eth0 端 口 。 并 且 使 用 本 地 主机 上 docker0 接 
口 的 人 P 作 为 容器 的 默认 网 天: 


$ docker run -i -t --rm base /bin/bash 
$ ip addr show ethO 
24: eth0: «BROADCAST,UP,LOWER UP» mtu 1500 qdisc pfifo fast state UP group 
default qlen 1000 
link/ether 32:6f:6e0:35:57:91 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.3/16 scope global ethO 
valid lft forever preferred lft forever 
inet6 fe80::306f:e0ff:fe35:5791/64 scope link 
valid lft forever preferred lft forever 
$ ip route 
default via 172.17.42.1 dev ethO 
172.17.0.0/16 dev ethO proto kernel scope link src 172.17.0.3 
$ exit 


目前 ，Docker 不 支持 在 启动 容器 时 候 指 定 IP 地 址 。 
Qux 


实际 上 ，Linux 网 桥 目 身 功能 已 经 十 分 完备 ， 也 可 以 替换 为 
OpenvSwitch 等 功能 更 强大 的 网 桥 实 现 。 


20.6 ”上 自 定义 网 桥 


除了 默认 的 docker0 网 桥 ， 用 户 也 可 以 指定 网 桥 来 连接 各 个 容器 。 


在 启动 Docker 服 务 的 时 候 ， 使 用 -b BRIDGE 或 --bridge=BRIDGE 来 
指定 使 用 的 网 桥 。 


如 琳 服 务 已 经 运行 ， 那 需要 和 完 停止 服务 ， 并 删除 旧 的 网 桥 : 


$ sudo service docker stop 
$ sudo ip link set dev dockerO down 
$ sudo brctl delbr dockerO 


然后 创建 一 个 网 桥 bridge0: 


sudo brctl addbr bridge0 
sudo ip addr add 192.168.5.1/24 dev bridgeO 
sudo ip link set dev bridgeO up 


€) 6 0 


查看 确认 网 桥 创 建 并 局 动 : 


ip addr show bridge0 
: bridgeO: «BROADCAST,MULTICAST» mtu 1500 qdisc noop state UP group default 
link/ether 66:38:d0:0d:76:18 brd ff:ff:ff:ff:ff:ff 
inet 192.168.5.1/24 scope global bridgeO 
valid lft forever preferred lft forever 


A0 


配置 Docker 服 务 ， 默 认 桥 接 到 创建 的 网 桥 上 : 


$ echo 'DOCKER OPTS-"-b-bridgeO"' >> /etc/default/docker 
$ sudo service docker start 


局 动 Docker 服 务 。 新 建 一 个 容器 ， 可 以 看 到 它 已 经 桥接 到 了 
bridgeO [- ° 


可 以 继续 用 brctl show 命 令 查 看 桥接 的 信息 。 男 外 ， 在 容器 中 可 以 
使 用 ip addr 和 ip route 命 令 来 查看 IP 地 址 配置 和 路 由 信息 。 


20.7 ”使 用 OpenvSwitch 网 桥 


Docker 默 认 使 用 的 十 Linux 目 市 的 网 桥 实现 ， 实 际 上 ， 
pileo 目 作 为 一 个 成 熟 的 虚拟 交换 机 实现 ， 具 备 更 丰富 的 功 
笔者 认为 ， 将 来 会 有 越 来 越 多 的 容 右 文 持 OpenvSwitch 作 为 底层 网 
桥 实现 。 


1. 环 境 


在 Ubuntu 14.04 系 统 J 测试。 操作 流程 也 适用 于 
RedHat/CentOS 系 列 系统 ， 但 少数 命令 和 配置 文件 可 能 略 有 差异 。 


2. 安 装 Docker 


安装 最 近 版 本 的 Docker 并 启动 服务 。 默 认 情 况 下 ，Docker 服 务 会 
创建 一 个 名 为 docker0 的 Linux 网 桥 ， 作 为 连接 容器 的 本 地 网 桥 。 


13883 AAZ 
可 以 通过 如 下 命令 查看 : 
$ sudo brctl show 
bridge name bridge id STP enabled interfaces 
dockero 8000.000000000000 no 


网 桥 docker0 内 部 接口 的 默认 地 址 可 能 为 172.17.42.1。 


$ ifconfig dockerg 

dockero Link encap:Ethernet Hwaddr 56:84:7a:fe:97:99 
inet addr:172.17.42.1 $Bcast:0.0.0.0 $Mask:255.255.0.0 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:O dropped:0 overruns:O frame:0 
TX packets:0 errors:0 dropped:0O overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


3. Z7 OpenvSwitch 
通过 如 下 命令 安装 OpenvSwitch: 
$ sudo aptitude install openvswitch-switch 


测试 添加 一 个 网 桥 br0 并 查看 : 


$ sudo ovs-vsctl add-br bro 
$ sudo ovs-vsctl show 
20d0b972-e323-4e3c-9e66-1d8bb57c7ff5 

Bridge ovs-br 

Port ovs-br 
Interface brO 
type: internal 
ovs version: "2.0.2" 
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OpenvSwitch 网 桥 上 创建 虚拟 网 口 并 挂 载 到 容器 中 。 


(1) 创建 无 网 口 容器 


局 动 一 个 ubuntu 容 器 ， 并 指定 不 创建 网 络 ， 后 面 我 们 手动 添加 网 
络 。 较 新 版 本 的 Docker 默 认 不 允许 在 容器 内 修改 网 络 配 置 ， 需 要 在 run 


的 时 候 指定 参数 --privileged=true: 


$ docker run --net=none --privileged-true -it ubuntu:14.04 bash 
root0298bbb17c244:/4 


记 住 这 里 容器 的 id 为 298bbb17c244 ° 


此 时 在 容器 内 查看 网 络 信 息 ， 只 能 看 到 一 个 本 地 网 卡 lo: 


root@298bbb17c244:/# ifconfig 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0O overruns:0O frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0O txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


(2) 手动 为 容器 添加 网 络 


下 载 OpenvSwitch 项 目 提 供 的 支持 Docker 容 姻 的 辅助 脚本 ovs- 


docker: 


$ wget https://github.com/openvswitch/ovs/raw/master/utilities/ovs-docker 
$ sudo chmod a+x ovs-docker 


HARIA F, FERE, MEK: 


$ sudo ./ovs-docker add-port brO ethO 298bbb17c244 --ipaddress-172.17.0.2/16 


添加 成 功 后 ， 在 容器 内 查看 网 络 信 息 ， 多 了 一 个 新 添加 的 网 卡 
eth0， 对 应 深 加 的 JP 地址 : 


root@298bbb17c244:/# ifconfig 


etho 


lo 


Link encap:Ethernet Hwaddr ae:3d:75:2c:18:ba 

inet addr:172.17.0.2 Bcast:172.17.255.255 Mask:255.255.0.0 
inet6 addr: fe80::ac3d:75ff:fe2c:18ba/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:187 errors:0 dropped:2 overruns:0 frame:0 
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:33840 (33.8 KB) TX bytes:1170 (1.1 KB) 

Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:65536 Metric:1 

RX packets:0 errors:0 dropped:0 overruns:O frame:0 

TX packets:0 errors:0 dropped:0O overruns:0 carrier:0 
collisions:0O txqueuelen:0 

RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


在 容 絮 外 ， 配 置 OpenvSwitch 的 网 桥 br0 内 部 接口 地 址 为 
172.17.42.2/16 (只 要 与 所 挂 载 容器 IP 在 同一 个 子 网 内 即 可 ) 


$ sudo ifconfig brO 172.17.42.2/16 


(3) 测试 连通 


经 过 


上 面 步 怠 ， 容 右 已 经 连接 到 了 网 桥 br0 上 上 了， 拓扑 如 下 所 示 : 


容器 (172.17.0.2/16) <- ->br9 网 桥 <- ->br9 内 部 端口 (172.17.42.2/16) 


此 时 ， 


在 容器 内 就 可 以 测试 是 否 连通 到 网 桥 br0 上 了 : 


root@298bbb17c244:/# ping 172.17.42.2 
PING 172.17.42.2 (172.17.42.2) 56(84) bytes of data. 
64 bytes from 172.17.42.2: icmp seq-1 ttl-64 time-0.874 ms 


64 bytes from 172.17.42.2: icmp seq-2 ttl-64 time-0.079 ms 
^C 
- 172.17.42.2 ping statistics --- 
2 packets transmitted, 2 received, 0% packet loss, time 1001ms 
rtt min/avg/max/mdev - 0.079/0.476/0.874/0.398 ms 


在 容 硕 内 也 可 以 配置 默认 网 关 为 br0 接 口 地 址 ; 
root@298bbb17c244:/# route add default gw 172.17.42.2 
另外 ， 删 除 该 接口 的 命令 为 : 


$ sudo ./ovs-docker del-port brO ethO «CONTAINER ID» 


实际 上 ，Docker 社 区 也 已 经 讨论 对 OpenvSwitch 进 行 原生 文 持 了 。 
在 Docker 原 生 文 择 OpenvSwitch 之 前 ， 用 户 可 以 通过 编写 脚本 或 更 高 级 
的 工具 来 让 这 一 过 程 目 动 化 。 


20.8 创建 一 个 点 到 点 和 连接 
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网 中 。 用 户 有 时 候 需 要 两 个 容 右 之 间 可 以 直 连 通信 ， 而 不 用 通过 主机 
网 桥 进 行 桥接 。 


解决 办 法 很 简单 : 创建 一 对 peer 接 口 ， 分 别 放 到 两 个 容器 中 ， 配 
置 成 点 到 点 链 路 类 型 即 可 。 下 面 这 个 过 程 我 们 将 手动 执行 Docker 配 置 
容 硕 网 络 的 大 部 分 步 桑 。 


BEOURBBSIW TZ: 


$ docker run -i -t --rm --net-none base /bin/bash 
rootQ1fif4cif931a:/4 
$ docker run -i -t --rm --net-none base /bin/bash 
root012e343489d2f:/£4 


找到 进程 号 ， 然 后 创建 网 络 命名 空间 的 跟踪 文件 : 


$ docker inspect -f '{{.State.Pid}}' 1f1f4c1f931a 
2989 

$ docker inspect -f '{{.State.Pid}}' 12e343489d2f 
3004 

$ sudo mkdir -p /var/run/netns 

$ sudo ln -s /proc/2989/ns/net /var/run/netns/2989 
$ sudo ln -s /proc/3004/ns/net /var/run/netns/3004 


创建 一 对 peer 接 口 。 


$ sudo ip link add A type veth peer name B 


添加 卫 地 址 和 路 由 信息 : 


Sudo 
Sudo 
Sudo 
Sudo 
Sudo 
Sudo 
Sudo 
Sudo 
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ip 
ip 
ip 
ip 
ip 
ip 
ip 
ip 


link set A 
netns exec 
netns exec 
netns exec 
link set B 
netns exec 
netns exec 
netns exec 


现在 这 两 个 容器 


netns 2989 

2989 ip addr add 10.1.1.1/32 dev A 

2989 ip link set A up 

2989 ip route add 10.1.1.2/32 dev A 
netns 3004 

3004 ip addr add 10.1.1.2/32 dev B 

3004 ip link set B up 

3004 ip route add 10.1.1.1/32 dev B 


# 束 可 以 相互 ping 通 ， 并 成 功 建立 连接 。 点 到 点 链 


路 不 需要 子 网 和 子 网 掩 码 。 


此 外 ， 也 可 以 不 指定 --net=none 来 创建 点 到 点 链 路 。 这 样 容 器 还 可 
以 通过 原先 的 网 络 来 通信 。 


利用 类 似 的 办 法 ， 可 以 创建 一 个 只 跟 主机 通信 有 的 容器 。 但 是 一 般 
情况 下 ， 更 推荐 使 用 --icc=false 来 关闭 容器 之 间 的 通信 


20.9 ”本章 小 结 


本 章 具体 讲解 了 使 用 Docker 网 络 的 一 些 高 级 部 署 和 操作 配置 ， 包 
括 配 置 局 动 参数 、DNS、 容 器 的 访问 控制 管理 等 ， 并 介绍 了 Docker 网 
络 相 关 的 一 些 工 具 和 项 目 。 


网 络 是 一 个 复杂 的 环境 ， 等 别 在 云 计 算 领 域 ， 因 为 网 络 配置 造成 
的 管理 成 本 ， 以 及 因为 网 络 原因 造成 的 业务 损失 ， 都 占 到 十 分 可 观 的 
比例 。 这 是 因为 网 络 领域 所 涉及 的 学 科 和 技术 | 类 从 多， 包括 软件 、 
硬件 、 系 统 ， 等 等 。 而 且 往 往 要 求 用 户 对 于 各 种 技术 的 细 市 把 握 十 分 
的 精确 。 


从 目前 来 看 ，Docker 网 络 所 能 提供 的 功能 还 十 分 催 单 ， 并 且 基 本 
上 都 是 依赖 于 Linux 操 作 系 统 上 的 现 有 技术 。 这 在 初期 可 以 让 Docker 不 
必 考 虚 太 多 的 网 络 问题 ， 从 而 关注 目 映 的 特点 得 以 快速 发 展 。 但 随 着 
Docker 应 用 部 署 在 各 种 分 布 式 环境 、 特 别 是 云 平 台 上 ， 网 络 方面 的 需 
求 和 瓶颈 将 会 大 量 育 现 ， 而 且 不 少 都 是 新 的 问题 。 


如 何 结合 已 有 的 网 络 虚拟 化 技术 来 解决 Docker 网 络 的 问题 ， 将 是 
未 来 一 段 时 间 内 云 计算 领域 值得 持续 探讨 的 重点 技术 话题 。 下 一 章节 
里 ， 笔 者 将 介绍 Docker 更 强大 的 插件 化 网 络 方案 : libnetwork 。 


第 21 草 libnetwork 插 件 化 网 络 功能 


从 1.7.0 版 本 开始 ，Docker 正 式 把 网 络 跟 存储 这 两 部 分 的 功能 实现 
都 以 插件 化 形式 剥离 出 来 ， 人 允许 用 户 通 过 指令 来 选择 不 同 的 后 端 实 
现 。 这 也 十 Docker 和 希望 构建 围绕 痢 容 天 的 强大 生态 系统 的 一 些 积极 的 


尝试 。 


剥离 出 来 的 独立 容器 网 络 项 目 叫 libnetwork， 从 和 名字 束 能 看 出 来 ， 
它 希 望 将 来 为 不 同 容 器 定义 统一 规范 的 网 络 层 标准 。 本 章 将 介绍 
libnetwork 的 概念 和 使 用 方法 。 


21.1 ”容器 网 络 模型 


libnetwork 中 容器 网 络 模型 (Container Networking Model, CNM) 
十 分 简洁 ， 可 以 让 上 层 使 用 网 络 的 大 量 应 用 容器 最 大 程度 上 不 去 关心 
底层 实现 。 


容器 网 络 模型 的 结构 如 图 21-1 所 示 。 


Sandbox (1b&) 


Endpoint ( 接 入 点 ) 


Network (网 络 ) 


图 21-1 容器 网 络 模 型 


包括 三 种 基本 元 素 : 


-Sandbox (WE) : 代表 一 个 容器 (准确 地 说 ， 是 其 网 络 命 名 空 
间 ) ; 


Endpoint ( 接 入 点 ) : 代表 网 络 上 可 以 挂 载 容 器 的 接口 ， 会 分 配 IP 
地 址 ; 


"Network 可 以 连通 多 个 接 入 点 的 一 个 子 网 。 


可 见 ， 对 于 使 用 CNM 的 容 右 管理 系统 来 说 ， 具 体 底下 网 络 如 何 实 
现 ， 不 同 于 网 彼此 怎么 隔离 ， 有 没有 QoS， 痢 可 以 不 关心 。 只 要 插件 能 
提供 网 络 和 接 入 点 ， 只 需 把 容 右 给 接 上 或 者 拔 下 ， 剩 下 的 都 是 插件 驱 
动 目 己 去 实现 。 这 样 束 解 夺 和 容 如 和 网 络 功能 ， 十 分 灵活 。 


CNM 的 典型 生命 周期 如 图 21-2 所 示 。 首 和 完 ， 是 续 动 注册 目 己 到 网 
络 控制 器 ， 网 络 控制 器 使 用 驱动 类 型 ， 来 创建 网 络 ， 然 后 在 创建 的 网 
络 上 创建 接口 ， 最 后 把 容器 连接 到 接口 上 即 可 。 销 毁 过 程 则 正好 相 
反 ， 移 把 容 和 右 从 接 入 口上 番 载 ， 然 后 删除 接 入 口 和 网 络 即 可 。 


驱动 注册 到 NetworkController 


Network NewNetwo<k() :; 创建 网 络 并 绑 定 到 驱动 
Controller 


CreateEndpoint(); 创建 接 入 点 


Delete (): 删除 一 个 网 络 


Leave(): ARMIA MHE 


Delete (); MJK PHEA us Join (): T mI DEAL 


独 21-2 ” 容 专 网 络 的 生命 周期 


目前 CNM 文 持 的 驱动 类 型 有 四 种 : Null ` Bridge ` Overlay ` 


Remote。 简 单 介绍 如 下 : 

Null: 不 提供 网 络 服务 ， 容 右 局 动 后 无 网 络 连 接 : 

Bridge: 就 是 Docker 传 统 上 默认 用 Linux 网 桥 和 Jptables 实 现 的 单机 
网 络 ; 

.Overlay: 是 用 vxlan 隧 道 实 现 的 跨 主 机 容 吉 网 络 ; 


Remote: 扩展 类 型 ， 预 留 给 其 他 外 部 实现 的 方案 ， 比 如 有 一 套 第 
三 方 的 SDN 方 案 (如 OpenStack Neutron) ， 就 可 以 接 进 来 。 


从 位 置 上 看 ，libnetwork 上 面 文 持 Docker， 下 面 文 持 网 络 揪 件 ， 目 
身 处 于 十 分 关键 的 中 间 层 。 读 者 如 果 熟 悉 计 算 机 网 络 协议 模型 的 话 ， 


libnetworki, z& gef BJ TCP/IPJZ ° 


目前 ， 已 有 大 量 的 网 络 方案 开始 文 持 libnetwork。 包 括 OpenStack 
Kuryr 项 目 ， 通 过 支持 libnetwork， 让 Docker 可 以 直接 使 用 Neutron 提 供 
的 网 络 功能 。Calico 等 团队 也 编写 了 插件 文 持 libnetwork， 从 而 无 颖 地 
文 持 Docker 网 络 功能 。 


21.2 ”Docker 网 络 相关 命令 

在 libnetwork 支 持 下 ，Docker 网 络 相 关 命 令 都 作为 network 的 子 命 
令 出 现 。 

围绕 着 管理 CNM 的 生命 周期 ， 主 要 包括 以 下 命令 : 

ls: 列 出 所 有 的 网 络 ; 

create: 创建 一 个 网 络 ; 

rm: 删除 一 个 网 络 ; 

connect: 把 容器 接 入 到 网 络 ; 

"disconnect: 把 容器 从 网 络 扼 载 下 来 ; 


inspect: 查看 网 络 的 详细 信息 。 


1. 列 出 网 络 


命令 格式 : docker network IS[OPTIONS] 


-f: 指定 输出 过 滤 属 ; 
--no-trunc: 不 截断 输出 内 容 


实际 上 ， 在 不 执行 额外 网 络 命令 的 情况 下 ， 用 户 执行 docker 
network 1s 命 令 ， 一 般 情 况 下 可 以 看 到 已 创建 的 三 个 网 络 : 


$ docker network ls 


NETWORK ID NAME DRIVER 
461e02c94370 bridge bridge 
e4d5886b2d2f none null 
adbci879bac5 host host 


分 别 为 三 种 驱动 的 网 络 : null、host 和 bridge 。 
2. 创 建 网 络 


命令 格式 : docker network create[OPTIONS]NETWORK 


--aux-address value: 辅助 的 卫 地 址 ; 

-d, --driver string: WAIKI, ， 如 bridge 或 overlay; 
--gateway value: 网 天 地 址 ; 

--internal: 禁止 外 部 对 创建 网 络 的 访问 ; 


--jp-range value: 分 配 IP 地 址 范围 ; 


—ipam-driver string: 耳 地 址 管理 的 插件 类 型 ， 
—ipam-opt value: IP 地 址 管理 插件 的 选项 ; 

—ipv6: 文 持 IPv6 地 址 ; 

--label value: 为 网 络 添加 元 标签 信息 :; 

-0，--opt value: 网 络 驱 动 支持 的 选项 ; 

—subnet value: 网 络 地 址 段 。 

3. 删 除 网 络 

删除 指定 的 网 络 。 当 网 络 上 并 不 存在 接 入 点 时 ， 删 除 成 功 。 


命令 格式 : docker network rm NETWORK[NETWORK...] 


将 一 个 容器 连接 到 一 个 已 存在 的 网 络 上 。 


命令 格式 : docker network connect[ OPTIONS]NETWORK 


CONTAINER 


--alias value: 为 容器 添加 一 个 别名 ， 此 别名 仅 在 所 添加 网 络 上 可 


见 ; 

-ip string: 指定 IP 地 址 ; 

.--ip6 string: 指定 IPv6 地 址 ; 

--ink value: 添加 链接 到 另外 一 个 容器 ; 

--link-local-ip value: 为 容 需 添加 一 个 链接 地 址 。 

5. SET SEU n 

将 一 个 连接 到 网 络 上 的 容器 从 网 络 上 移 除 。 

命令 格式 : docker network disconnect[OPTIONS]NETWORK 
CONTAINER 


文 持 参数 包括 -f、--force: 强制 把 容器 从 网 络 上 移 除 。 
6. 查 看 网 络 信息 
查看 已 存在 网 络 的 具体 信息 。 


命令 格式 : docker network 


inspect| OPTIONS ]NETWORK[NETWORR...] 


支持 参数 包括 -f、--format string: 给 定 一 个 golang 模 板 字符 串 ， 对 
输出 结果 进行 格式 化 。 


21.3 ”构建 跨 主 机 容 姻 网 络 


在 这 里 ， 笔 者 将 演示 使 用 ]ibnetwork 自 这 的 Overlay 类 型 驱动 来 轻松 
实现 跨 主 机 的 网 络 通信 。Overlay 豫 动 默认 采用 VXLAN 协 议 ， 在 卫 地 址 
可 以 互相 访问 的 多 个 主机 上 之 间 搭 建 隧道 ， 让 容器 可 以 互相 访问 。 


1. 配 置 网 络 信息 管理 数据 库 


我 们 知道 ， 在 现实 世界 中 ， 要 连通 不 同 的 主机 需要 交换 机 或 路 由 
器 ( 跨 子 网 时 需要 ) 这 样 的 互联 设备 。 这 些 设备 一 方面 是 在 物理 上 起 
到 连接 作用 ， 但 更 重要 的 生起 到 了 网 络 管 理 的 功能 。 例 如 ， 主 机 位 置 
在 什么 地 方 ， 地 址 是 多 少 等 信息 ， 都 需要 网 络 管理 平面 来 维护 。 


在 libnetwork 的 网 络 方案 中 ， 要 实现 跨 主 机 容 右 网 络 也 需要 类 似 的 
一 个 网 络 信息 管理 机 制 ， 只 不 过 这 个 机 制 简单 得 多 ， 只 是 一 个 键 信 数 
据 库 而 已 ， 如 Consul、Etcd、ZooKeeper 等 工具 都 可 以 满足 需求 如 图 21- 
BLA 


Key-Value DB 


Container 


Docker Host #1 


Container 


Docker|Host #2 


VXLAN Overlay 
图 21-3” 跨 主机 的 容器 网 络 


以 Consul 为 例 ， 启 动 一 个 progrium/consul 容 器， 并 映射 服务 到 本 地 
的 8500 问 口 ， 用 如 下 命令 即 可 : 


$ docker run -d \ 

-p "8500:8500" \ 

-h "consul" \ 

progrium/consul -server -bootstrap 
1ad6b71cfdf83e1925d960b7c13f40294b7d84618828792a84069aea2e52770d 


所 在 主机 作为 数据 库 节 点 。 


2. 配 置 Docker 主 机 


启动 两 台 Docker 主 机 n1 和 n2， 分 别 安装 好 最 新 的 Docker- 
engine(1.7.0+)。 确 保 这 两 人 台 主 机 之 间 可 以 通过 IP 地 址 互相 访问 ， 男 外 ， 
都 能 访问 到 数据 库 和 点 的 8500 端 口 。 


配置 主机 的 Docker 服 务 启动 选项 如 下 所 示 : 


DOCKER OPTS-"$DOCKER OPTS --cluster-store=consul://<CONSUL NODE»:8500 --cluster- 
advertise-ceth0:2376" 


重新 启动 Docker 服 务 如 下 所 示 : 


$ sudo service docker restart 


3. 创 建 网 络 


分 别 在 n1 和 n2 上 查看 现 有 的 Docker 网 络 ， 和 包括 三 个 默认 网 络 : 分 
别 为 bridge、host 和 none 类 型 。 


n1:$ docker network 1s 
NETWORK ID NAME DRIVER 
dc581a3eab4c bridge bridge 
ee21a768c6f6 host host 
8d1ee747b894 none null 
n2:$ docker network 1s 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
5bfae3a62214 host host 
4adc19ad9bc7 none null 


在 任意 节点 上 创建 网 络 multi， 例 如 在 n1 上 执行 如 下 命令 即 可 完成 
对 跨 主 机 网 络 的 创建 


n1:$ docker network create -d overlay multi 
eadd374a18434a14c6171b778600507f3000330f46220674d3078009a58506c2d 


创建 成 功 后 ， 可 以 同时 在 n1 和 n2 上 和 查看 到 新 的 网 络 multi 的 信息 : 


n1:$ docker network 1s 
NETWORK ID NAME DRIVER 
dc581a3eab4c bridge bridge 
ee21a768c6f6 host host 
eadd374a1843 multi overlay 
8d1ee747b894 none null 
n2:$ docker network 1s 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
5bfae3a62214 host host 
eadd374a1843 multi overlay 
4adci9ad9bc7 none null 


HERT, 


还 可 以 通过 docker network inspect 命 令 查 看 网 络 的 具体 信 


$ docker network inspect multi 


[ 
{ 


"Name": "multi", 
"Id": "eadd374a18434a14c6171b778600507f300d330f4622067qd3078009a58506c2d", 
"Scope": "global", 


"Driver": "overlay", 
"EnableIPv6": false, 
"IPAM": { 
"Driver": "default", 
"Options": {}, 
"Config": [ 


"Subnet": "10.0.0.0/24", 
"Gateway": "10.0.0.1/24" 


] 
2 
"Internal": false, 
"Containers": {}, 
"Options": {}, 


"Labels": {} 


4. 测 试 网 络 


在 n1 上 启动 一 个 容器 cl1， 通 过 --net 选 项 指定 连接 到 multi 网 络 上 。 
查看 网 络 信 息 ， 其 中 一 个 接口 eth0 已 经 连接 到 了 multi 网 络 上 : 


n1:$ docker run -it --name-ci --net=multi busybox 
/ # ipa 
1: lo: «LOOPBACK, UP, LOWER_UP> mtu 65536 qdisc noqueue 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid lft forever preferred lft forever 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
72: eth0: «BROADCAST, MULTICAST, UP, LOWER UP» mtu 1450 qdisc noqueue 
link/ether 02:42:0a:00:00:02 brd ff:ff:ff:ff:ff:ff 
inet 10.0.0.2/24 scope global ethO 
valid lft forever preferred lft forever 
inet6 fe80::42:aff:fe00:2/64 scope link 
valid lft forever preferred lft forever 
74: ethi: «BROADCAST, MULTICAST, UP, LOWER UP» mtu 1500 qdisc noqueue 
link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff 
inet 172.18.0.2/16 scope global eth1 
valid lft forever preferred lft forever 
inet6 fe80::42:acff:fe12:2/64 scope link 
valid lft forever preferred lft forever 


在 nD2 上 局 动 一 个 容 禹 c2， 同 样 连接 到 multi 网 络 上 。 


通过 ping c1 进 行 测试 ， 可 以 访问 到 另外 一 合 主机 n1 上 的 容 策 cl: 


n2:$ docker run -it --name=c2 --netzmulti busybox 

/ # ping c1 

PING c1 (10.0.0.2): 56 data bytes 

64 bytes from 10.0.0.2: Sedq=0 ttl-64 time-0.705 ms 

64 bytes from 10.0.0.2: seg-1 ttl-64 time-0.712 ms 

64 bytes from 10.0.0.2: seq=2 ttl-64 time-0.629 ms 

^C 

--- c1 ping statistics --- 

3 packets transmitted, 3 packets received, 0?; packet lossround-trip min/avg/max = 
0.629/0.682/0.712 ms 


21.4 KEME 


本 章 介 绍 了 Docker 新 的 网 络 功能 和 插件 化 网 络 工具 : libnetwork ° 


从 1.7.0 之 前 的 本 地 主机 网 络 ， 到 新 版 本 里 面 强大 的 跨 主机 通信 网 
络 能 力 ，Docker 的 功能 已 经 从 单 主机 上 小 规模 服务 场景 ， 拓 展 到 了 大 
规模 的 集群 场景 甚至 数据 中 心 场景 。 这 对 于 Docker 文 持 容 右 云 场景 是 
十 分 关键 的 一 步 。 


从 位 置 上 看 ，libnetwork 通 过 CNM， 抽 象 了 下 层 的 网 络 实 现 ， 让 
Docker 可 以 无 颖 支持 不 同 的 网 络 拉 术 ， 从 物理 网 络 到 虚拟 网 络 ， 只 
支持 CNM， 即 可 被 Docker 所 使 用 。 


相 比 传统 场景 ， 容 器 目 映 的 动态 性 、 融 密度 都 对 网 络 技术 市 来 了 
更 多 新 的 挑战 。Docker 从 1.12.0 开 始 将 Swarm 模 式 也 内 崩 到 了 3 引 苞 中 ， 
以 提供 对 集群 网 络 更 好 的 支持 。 笔 者 相信 ， 是 否 能 够 合理 地 融合 软件 
定义 网 络 技 术 ， 将 是 容器 在 大 规模 场景 下 能 否 得 到 有 效 使 用 的 关键。 


第 四 部 分 “开源 项 目 


.第 22 章 “Etcd -一 高 可 用 的 键 值 数 据 库 


:第 23 章 ”Docker 三 剑客 之 Docker Machine 
:第 24 章 ”Docker 三 剑客 之 Docker Compose 


.第 25 草 ”Docker 三 剑客 之 Docker Swarm 


:第 26 章 Mesos 优秀 的 集群 资源 调度 平台 


:第 27 革 Kubernetes 生产 级 容器 集群 平台 


:第 28 章 ”其 他 相关 项 目 


开源 技术 之 所 以 受到 越 来 越 多 的 关注， 很 重要 的 一 个 原因 古 不 同 


项 目 之 间 彼 此 合作 ， 构 建 了 民 好 的 生态 系统 。 围 绕 着 容器 技术 ， 


多 1 


社区 和 公司 都 推出 了 很 多 优秀 的 工具 ， 让 容器 的 使 用 变 得 更 加 简单 ， 


让 更 多 的 业务 场景 都 能 从 容器 技术 中 获 益 。 


本 部 分 将 介绍 一 些 重点 开源 项 目 ， 共 有 7 章 内 容 。 


第 22 章 将 介绍 CoreOS 公 司 开 源 的 高 可 用 分 布 式 键 值 数 据 库 Etcd， 
该 项 目 已 经 被 广泛 应 用 到 分 布 式 系统 的 一 致 性 实现 和 服务 发 现 中 。 


第 23 到 25 章 将 介绍 Docker 公 司 推出 的 三 剑客 : Machine ^ Compose 


和 Swarm。 这 三 件 利器 的 出 现 ， 让 Docker 不 仅仅 支持 单机 的 虚拟 化 ， 


而 且 


核 ， 


制 ， 


能 文 持 更 广泛 的 集群 平台 ， 提 供 更 强大 灵活 的 功能 。 


第 26 革 将 介绍 Mesos 开 源 项 目 。 作 为 定位 数据 中 心 操 作 系统 的 内 
Mesos 以 其 位 洁 的 设计 、 强 大 的 功能 ， 以 及 灵活 的 插件 支持 机 


受到 众多 容器 云 平 台 的 青睐 。 


第 27 章 介绍 的 Kuberetes 项 目 更 是 在 业界 己 电 大名， 由 Google 公 司 


开源 ， 已 经 成 为 容器 集群 管理 平台 的 事实 标准 。 


最 后 ， 第 28 章 还 介绍 了 从 多 的 其 他 项 目 ， 这 些 项 目 在 持续 集成 、 


管理 、 编 程 开发 等 功能 上 各 有 特色 ， 为 用 户 带 来 诸多 效率 上 的 提升 。 


78223; — Etcd 一 高 可 用 的 键 值 数据 库 


Etcd 是 CoreOS 团 队 (同时 发 起 了 CoreoS、Rocket 等 热门 项 目 ) 发 
起 的 一 个 分 布 式 键 值 数据 库 项 目 ， 可 以 用 于 分 布 式 系统 中 的 配置 信息 
管理 和 服务 发 现 ， 目 前 已 经 被 广泛 应 用 到 大 量 开源 项 目 中 ， 包 括 
Kubernetes、CloudFoundry 和 CoreOS Fleet 等 。 


在 这 一 章 里 面 ， 笔 者 将 详细 介绍 该 项 目的 相关 知识 ， 包 括 安装 和 
使 用 ， 以 及 集群 管理 等 。 


Etcd 是 CoreOS 团 队 于 2013 年 6 月 发 起 的 开源 项 目 ， 它 的 目标 是 构建 
一 个 高 可 用 的 分 布 式 键 值 (key-value) 数据 库 ， 基 于 Go 语言 实现 。 


个 etCd 


接触 过 分 布 式 系统 的 读者 应 该 知道 ， 分 布 式 系统 中 ， 最 基本 最 重 
要 的 问题 就 是 各 种 信息 的 一 任性 ， 包 括 对 服务 的 配置 信息 的 管理 、 服 
务 的 发 现 、 更 新 、 同 步 等 等 。 而 要 解决 这 些 问题 ， 往 往 需 要 基于 一 套 
能 保证 一 致 性 的 分 布 式 数据 库 系 统 ， 比 如 经 典 的 Apache ZooKeeper 项 
目 ， 通 过 维护 文件 目 孙 信息 来 实现 数据 的 一 致 性 。 


Etcd 束 是 专门 为 集群 环境 设计 ， 可 以 很 好 地 实现 数据 一 致 性 ， 提 供 
集群 节点 状态 管理 和 服务 目 动 发 现 等 。 


Etcd 目 前 在 github.com/coreos/etcd 进 行 维 护 ， 已 经 发 布 3.0 系 列 版 
本 o 


受到 Apache ZooKeeper 项 目 和 doozer 项 目的 的 启发 ，Etcd 在 进行 设 
计 的 时 候 重点 考虑 了 下 面 四 个 和 要素 : 


-人 简单: 支持 REST 风 格 的 HTTP+JSON API; 


:安全 : 支持 HTTPS 方 式 的 访问 ; 


快速 ,支持 并 发 每 秒 一 千 次 的 写 操作 ; 


可 靠 : 文 持 分 布 式 结构 ， 基 于 Raft 算法 实现 一 致 性 。 


通 单 情况 下 ， 用 户 使 用 Etcd 可 以 在 多 个 节点 上 局 动 多 个 实例 ， 并 将 
它们 添加 为 一 个 集群 。 同 一 个 集群 中 的 Etcd 实 例 将 会 目 动 保持 彼此 信息 
的 一 致 性 ， 这 和 意味 着 分 布 在 各 个 节点 上 的 应 用 也 将 获取 到 一 致 的 信 


E o 


JON 


[1] Apache ZooKeeper 是 一 套 知 名 的 分 布 式 系统 中 进行 同步 和 一 致 性 管 
理 的 工具 。 

[2] doozer 是 一 个 一 致 性 分 布 式 数据 库 实 现 ， 主 要 面向 少量 数据 ， 更 多 
信息 可 以 参考 https://github.com/ha/doozerd ° 

[3] Raft 是 一 套 通 过 选举 主 节点 来 实现 分 布 式 系统 一 致 性 的 算法 ， 相 比 
于 大 名 风电 的 Paxos 算 法 ， 它 的 算法 过 程 相对 容易 理解 ， 由 Stanford 大 学 


的 Diego Ongaro 和 John Ousterhout 提 出 。 更 多 细节 可 以 参考 


https://raftconsensus.github.io ° 


22.2 ”安装 和 使 用 Etcd 


Etcd 基 于 Go 语言 实现 ， 因 此 ， 用 户 可 以 从 项 目 主页 : 
https://github.com/coreos/etcd 下 载 源 代码 自行 编译 (需要 Go 1.4 以 上 版 
本 ) ， 也 可 以 下 载 编译 好 的 二 进 制 文件 ， 甚 至 直接 使 用 制作 好 的 
Docker 镜 像 文件 来 体验 。 


下 面 分 别 讲解 基于 二 进 制 文件 和 Docker 镜 像 的 两 种 方式 。 
1. — XE BICEEZT XX 
(1) 下 载 和 安装 


编译 好 的 二 进 制 文件 都 在 github.com/coreos/etcd/releases 页 面 ， 用 户 
可 以 选择 需要 的 版 本 ， 或 通过 下 载 工 具 下 载 。 


例如 ， 下 面 的 命令 使 用 curl 工 具 下 载 压 缩 包 ， 并 解压 : 


$ curl -L https://github.com/coreos/etcd/releases/download/v3.0.4/etcd-v3.0.4- 
linux-amd64.tar.gz -o etcd-v3.0.4-linux-amd64.tar.gz 

$ tar xzvf etcd-v3.0.4-linux-amd64.tar.gz 

$ cd etcd-v3.0.4-linux-amd64 


解压 后 ， 可 以 看 到 文件 包括 : 


$ 1s 
Documentation etcd etcdctl  README-etcdctl.md  README.md 


其 中 etcd 是 服务 主 文件 ，etcdct 走 提供 给 用 户 的 命令 客户 端 ， 其 他 
都 古文 档 文件 。 


Oiz 


某 些 版 本 中 还 含有 etcd-migrate 二 进 制 文件 ， 可 以 进行 旧版 本 的 迁 
移 o 


通过 下 面 的 命令 将 二 进 制 文件 都 放 到 系统 可 执行 目 孙 /usrylocalbin/ 
或 /usr/bin/: 


$ sudo cp etcd* /usr/local/bin/ 
安装 就 已 经 完成 了 。 

(2) 使 用 Etcd 

下 面 将 先 以 单 节点 模式 为 例 讲解 Etcd 支 持 的 功能 和 操作 。 
查看 etcd 的 版 本 : 


$ ./etcd --version 

Git SHA: d53923c 

Go Version: go1.6.3 

Go OS/Arch: linux/amd64 


直接 执行 Etcd 命 令 ， 将 启动 一 个 实例 监听 在 本 地 的 2379 和 4001 端 
口 。 此 时 ， 客 户 端 可 以 通过 本 地 的 2379 和 4001 端 口 访问 Etcd;， 其 他 Etcd 


本 地 实例 可 以 通过 2380 和 7001 端 口 连接 到 新 启动 实例 e 


显示 类 似 如 下 的 信息 : 


$ etcd 

2016-09-29 16:23:21.071154 

2016-09-29 16:23:21.071260 

2016-09-29 16:23:21.071280 

2016-09-29 16:23:21.509092 
to 2.2 

2016-09-29 16:23:21.542046 N etcdserver: set the initial cluster version to 2.2 

2016-09-29 16:23:21.542226 I | etcdserver: published {Name:default ClientURLs: 
[http://localhost:2379 http://localhost:4001]) to cluster 7e27652122e8b2ae 


etcdmain: etcd Version: 3.0.4 

etcdmain: Git SHA: d53923c 

etcdmain: Go Version: go1.6.3.. 

etcdserver: setting up the initial cluster version 


HHHH 


此 时 ， 可 以 通过 REST API 直 接 查看 集群 健康 状态 : 


$ curl -L http://127.0.0.1:2379/health 
["health": "true"? 


当然 ， 也 可 以 使 用 自 带 的 etcdctl 命 令 进 行 查 看 (S 
REST API 调 用 ) 


将 
& 
Lr 
au 
Wr 

m 
一 | 


$ etcdctl cluster-health 
member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 


过 etcdct 设 置 和 获取 键 值 也 十 分 方便 ， 例 如 设置 键 值 对 


testkey: "hello world": 


$ ./etcdctl set testkey "hello world" 
hello world 

$ ./etcdctl get testkey 

hello world 


说 明 键 值 对 已 经 设置 成 功 了 。 


当然 ， 除 了 etcdct 命 令 外 ， 也 可 以 直接 通过 HTTP 访 问 本 地 2379 端 
口 的 方式 来 进行 操作 ， 例 如 查看 testkey 的 值 : 


$ curl -L -X PUT http://localhost:2379/v2/keys/testkey -d value-"hello world" 


[("action":"set","node":("key":"/testkey", value":"hello world","modifiedIndex": 
8, createdIndex'":3]] 


$ curl -L http://localhost:2379/v2/keys/testkey 


[("action":"get","node":("key":"/testkey", value":"hello world","modifiedIndex": 
8, createdIndex'":3]] 


注意 目前 API 版 本 为 v2， 将 来 出 了 新 的 版 本 后 ，API 路 径 中 则 对 应 
为 对 应 版 本 号 。 


2.Docker 镜 像 方式 下 载 


镜像 名 称 为 quay.io/coreos/etcd: v3.0.4， 可 以 通过 下 面 的 命令 启动 
etcd 服 务 监 听 到 本 地 的 2379 和 2380 端 口 : 


$ docker run \ 
-p 2379:2379 \ 
-p 2380:2380 \ 
-v /etc/ssl/certs/:/etc/ssl/certs/ 
quay.io/coreos/etcd:v3.0.4 


3. 数 据 目 永 


作为 数据 库 ， 最 重要 的 目 然 是 数据 存放 位 置 。 可 以 通过 --data-dirj 客 
项 来 指定 存放 的 位 置 ， 默 认为 ${name}.etcd， 其 中 ${name} 为 市 
名 ， 默 认为 default ° 


zen 


INN 


例如 ， 指 定 贡 点 别名 为 test， 则 默认 数据 存放 目 了 永 则 为 test.etcd: 


$ $ etcd --name "test" 

2016-09-30 10:34:09.883714 
2016-09-30 10:34:09.883802 
2016-09-30 10:34:09.884872 
2016-09-30 10:34:09.884887 
2016-09-30 10:34:09.884901 


etcdmain: etcd Version: 2.2.2 
etcdmain: Git SHA: b4bddfe.. 
etcdserver: heartbeat - 100ms 
etcdserver: election = 1000ms 
etcdserver: snapshot count - 10000 


HH|HHHH 


查看 数据 目录 下 内 容 。 


$ tree test.etcd 
test.etcd.— member 


snap 
m L— 0000000000000366-0000000000002711. snap 
L— wal 
L— 0000000000000000- 0000000000000000.wal 
3 directories, 2 files 


其 中 ，snap 目 永 下 将 定期 记录 世上 点 的 状态 快照 信息 ，wal 目 永 下 则 
记录 数据 库 的 操作 日 志 信息 (可 以 通过 --wal-dir 参 数 来 指定 存放 到 特定 
H5K) » 


4. 服 务 启动 参数 
Etcd 服 务 启动 的 时 候 支 持 一 些 参数 ， 用 户 可 以 通过 这 些 参数 来 调整 
服务 和 和 集群 的 行为 。 参 数 可 以 通过 环境 变量 形式 传 入 ， 命 名 全 部 为 大 


并 且 加 ETCD BjZg, [fü AIETCD NAME-'etcd-cluster' ° EARE, 
括 : 通用 参数 、 集 群 参数 、 安 全 相关 参数 、 代 理 参 数 。 


(1) 通用 参数 


Y 


这 些 参数 主要 跟 世 点 目 身 配置 相关 ， 


表 22-1 


参见 表 22-1 ° 


Etcd 通 用 参数 


N 


$ Wu 说 明 
--nane 'default' 设置 成 员 的 别名 ， 建 议 为 每 个 成 员 配 置 可 识别 的 命名 
--data-dir '$(nane).etcd' 数据 存储 的 目录 
wWal-dir ' ' C e 
--max-wals 5 最 多 保留 多 少 个 wal 文件 
--snapshot-count "10000， 发 生 多 少 次 提交 就 存储 一 次 snapshot 


--max-snapshots 5 


最 多 保留 多 少 个 snapshot 


见 表 22-2。 


表 22-2 ”Ftcd 和 集群 参数 


$9 HW 
--heartbeat-in-erva- '100' 
--election-timecut '1000' 


--listen-peer-urls 


http://local-host:7001' 


'http://1ocalhost: 


--listen-client-urls 
http://localhost:4001' 


2380, 


'http://localhost:2379, 


LEE 
心跳 消息 时 间 间 陋 
(重新 ) 选举 时 间 间隔 


监听 peer 过 来 的 消息 


监听 来 自 客 户 端的 请 求 


initial-advertise-oeer-urls 


2380, http://localhost:7001"' 
client-urls ' 


//localhost:4001' 


--acver-ise- 
2379, http: 


http: 


--initial-cluster 
2380,default- http://localhost:700-' 


--initial-cluscer-state 'new' 


--initisl-clus-er-token 'etcd-cluster' 


--debug 'false' 


'http://localnost: 


//localhost: 


'default-http://localhost: 


J 355 Sft rp AN AI] peer 监 昕 通信 地 址 


广 潘 到 集群 中 杰 成 员 的 监听 客户 端 请 求 的 
地 址 


初始 化 集群 配置 
初始 化 集群 状态 为 新 建 ， 也 可 以 指定 为 
pos CHE 
启动 集群 的 时 候 指定 焦 群 口令 ， 
token 的 节点 才 能 如 和 到 同一 焦 群 
通过 自动 探测 方式 发 现 集群 成 员 的 地 址 
是 否 开 启 调试 信息 


只 有 相同 


这 些 参数 主要 用 于 指定 通信 时 候 的 TLS 证 书 、 密 钥 配 置 ， 参 见 表 
22-3 ° 


表 22-3 ”Etcd 安 全 相关 参数 


参 数 说 — BB 
--cerc-file '' 客户 端 通 信 时 TLS uE-B x7 ERIS 
--key-file '' 客户 端 通信 时 TLS 密 钥 文件 路 径 
--client-cert-auth 'false' ETIA mn FHuE- DUE 
--trusted-ca-file ' ' 客户 蜗 通 信和 时 信任 的 CA 文件 
--peer-cert-file ' ' 对 等 成 员 节 点 的 TLS 证 书 文 件 
--peer-key-file ' ' 对 等 成 员 节 点 的 TLS 密 钥 文件 
--peer-client-cert-auth 'false' 是 否 启用 对 等 成 员 节 点 客户 器 认证 
--peer-trusted-ca-file ' ' 对 等 成 员 节点 的 信任 CA 文件 路 径 


(4) 代理 参数 


这 些 参数 主要 走 当 Etcd 服 务 目 身 仅 作为 代理 模式 时 候 使 用 ， 即 转发 
来 自 客 户 端的 请 求 到 指定 的 Etcd 集 群 。 此 时 ，Etcd 服 务 本 身 并 不 参与 集 
群 中 去 ， 不 保存 数据 和 参加 选举 。 其 中 的 参数 参见 表 22-4 。 


表 22-4 Etcd 代 理 参 数 


参 HN 说 Hj 
--proxy 'off' ETIA IRIRA, REA off ORIB), readonly 或 者 on 
--proxy-failure-wait 5000 失败 等 待 时 间 ， 单 作为 毫秒 
--proxy-refresh-interval 30000 | 节点 刷新 时 间 间 隔 ， 单位 为 毫秒 
--proxy-diel.-timeout 10090 发 起 连接 的 超时 ， 单位 为 之 秒 
--proxy-read-timeout 0 污 请 求 的 超时 时 间 ， 单 位 为 毫秒 


--proxy-write-timeou- 5000 写 请 求 的 超时 时 间 ， 单 位 为 毫秒 


223 ”使 用 etcdct 客 户 端 


etcdctl 征 Etcd 官 方 提供 的 命令 行 客户 端 ， 它 文 持 一 些 基 于 HTTP API 
封装 好 的 命令 ， 供 用 户 直 接 跟 Etcdq 服 务 打交道 ， 而 无 需 基 于 HTTP API 
的 方式 。 当 然 ， 这 些 命令 跟 HTTP API 实 际 上 是 对 应 的 ， 最 终 效果 上 并 
无 不 同 之 处 。 


某 些 场景 下 使 用 etcdct 将 十 分 方便 。 例 如 用 户 需 要 对 Etcd 服 务 进行 
简单 测试 或 者 手动 来 修改 数据 库 少 量 内 容 ; 也 推荐 在 刚 接 和 触 Etcd 时 通过 
etcdctl 命 令 来 熟悉 Etcd 支 持 的 相关 功能 。 


Etcd 项 目 二 进 制 发 行 包 中 已 经 包含 了 etcdct 工 具 ， 没 有 的 话 ， 可 以 
从 github.comycoreos/etcd/releases 手 动 下 载 。 


etcdctl 的 命令 格式 为 : 


$ etcdctl [全 局 选项 ] 命 令 [ 命 令 选 项 ] [命令 参数 ] 


--debug 


no-sync 


说 明 
输出 调试 信息 ， 显 示 执 行 命令 的 时 候 发 起 的 请 求 
发 出 请 求 前 不 主动 同步 集群 信息 


--output, -o 'simple' 


--discovery-srv, -D 


--peers, -C 


--cert-file 


--key-file HTTPS 


--Cca-file 
--usernarme, 


--timeout 


-u username[:password] 


'"1s' 


--total-timeout '5s' 


--help, -h 


--version, 


-y 


输出 啊 应 消息 的 格式 ， 可 以 为 simple, json 8k extended 
通过 域名 查询 来 探测 集群 成 员 信息 

集群 中 成 员 地 址 列表 ， 用 返 号 隔 开 

集群 中 成 员 地 丝 列表 

如 果 集 群 需要 HTTPS 认证 ， 提 供 TLS 的 证 书 文件 路 径 
认证 的 证 书 文件 路 径 

域名 相关 的 很 证 书 文件 路 径 

用 户 名 和 密码 验证 信息 

请 求 的 连接 超时 ， 默 认为 1s 

命令 执行 总 超时 ， 默 认为 5s 

显示 帮助 命令 信息 


打印 版 本 信息 


文 持 的 命令 大 体 上 分 为 数据 类 操作 和 非 数 据 类 操作 两 类 。 


Etcd 作 为 一 个 分 布 式 数据 库 ， 类 似 ZooKeeper 采 用 了 类 似 文 件 目 录 
的 结构 ， 数 据 类 操作 基本 围绕 对 文件 (IDEE) 或 目录 进行 。 大 家 
可 以 对 比 Linux 的 文件 和 目录 操作 命令 ， 会 发 现 两 者 之 则 的 相似 性 。 非 


数据 类 操作 主要 是 Etcd 提 供 的 系统 配置 、 权 限 管理 等 。 参 见 表 22-6 和 表 
22-7。 


数据 类 操作 命令 见 表 22-6， 非 数据 类 操作 见 表 22-7。 


表 22-6 ”Etcd 数 据 类 操作 命令 


LA 说 — B3 


set 设置 某 键 对 应 的 值 

get 获取 某 键 对 应 的 值 

update 更 新 某 键 对 应 的 值 

mk 创建 新 的 键 值 

rm 删除 键 值 或 目录 

watch 监控 某 键 值 的 变化 
exec-watch 某 键 值 变化 时 执行 指定 命令 
ls 列 出 日 录 下 内 容 

mkdir 创建 新 的 目录 

rndir MESS H RRA AEE 
setdir 创建 日 录 (允许 日 录 已 存在 ) 
updatedir 更 新 已 存在 的 目录 


表 22-7 ”Etcd 非 数据 类 操作 命令 


命 令 说 8j 
b&ckup 备份 指定 的 日 录 
cluster-health 检查 etcd 集群 健康 状况 
member 添加 、 有 删除 或 列 出 成 员 ， 需 要 带 具 体 了 了 命令 
import 导入 快照 
aser MERI, SURE. Sewer 
role HERM, AREH, Wu EBERT ES 
auth 全 局 认证 管理 
nelp, h 打印 命令 帮助 信息 


下 面 分 别 来 看 下 各 个 操作 的 主要 用 法 和 功能 。 


22.3.1 数据 类 操作 


数据 类 操作 围绕 对 键 值 和 目录 的 CRUD (符合 REST 风 格 的 一 套 操 
作 : Create) 完整 生命 周期 的 管理 。 


Etcd 在 键 的 组 织 上 采用 了 层次 化 的 空间 结构 (类 似 于 文件 系统 中 目 
录 的 概念 ) ， 用 户 指定 的 键 可 以 为 单独 的 名 字 ， 如 testkey， 此 时 实际 上 
放 在 根 目录 /下 面 ， 也 可 以 为 指定 目录 结构 ， 如 clusterl/node2/testkey， 
则 将 创建 相应 的 目录 结构 。 


Qiz 


CRUD 即 Create、Read、Update、Delete， 是 符合 REST 风 格 的 一 套 


API 操 作 规 范 。 
1.set 
设置 某 个 键 的 值 为 给 定 值 。 例 如 : 


$ etcdctl set /testdir/testkey "Hello world" 
Hello world 


文 持 的 选项 包括 : 


--tt0。 键 值 的 超时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 
不 超时 


--Swap-with-value value。 奋 该 键 现在 的 值 是 value， 则 进行 设置 操 
作 


.--Swap-with-index'0'。 帮 该 键 现在 的 索引 值 是 指定 索引 ， 则 进行 设 
置 操 作 
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于 Etcd 设 计 分 布 式 锁 的 时 候 ， 可 以 通过 超时 时 间 避 免 出 现 发 生死 锁 的 情 
iti [9] 

2.get 


获取 指定 键 的 值 。 例 如 : 


$ etcdctl set testkey hello 
hello 

$ etcdctl update testkey world 
world 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcdctl get testkey2 
Error: 100: Key not found (/testkey2) [1] 


支持 的 选项 为 _sort， 对 返回 结果 进行 排序 。 


3.update 


当 键 存在 时 ， 更 新 值 内 容 。 例 如 : 


$ etcdctl set testkey hello 
hello 

$ etcdctl update testkey world 
world 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcdctl update testkey2 world 
Error: 100: Key not found (/testkey2) [1] 


支持 的 选项 为 --t'0'"， 超 时 时 间 〈 单 位 为 秒 ) ， 不 配置 〈 默 认为 0) 
则 永 不 超时 。 


4.mk 
如 果 给 定 的 键 不 存在 ， 则 创建 一 个 新 的 键 值 。 例 如 : 


$ etcdctl mk /testdir/testkey "Hello world" 
Hello world 


当 键 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 


$ etcdctl set testkey "Hello world" 

Hello world 

$ ./etcdctl mk testkey "Hello world" 

Error: 105: Key already exists (/testkey) [2] 


支持 的 选项 为 --t'0'"， 超 时 时 间 〈 单 位 为 秒 ) ， 不 配置 〈 默 认为 0) 
则 永 不 超时 。 


5.rm 


删除 某 个 键 值 。 例如: 


$ etcdctl rm testkey 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcdctl rm testkey2 
Error: 100: Key not found (/testkey2) [8] 


文 持 的 选项 为 : 


--dir 一 一 如 采 键 站 个 择 目 孙 或 者 是 键 值 对 则 删除 ; 


删除 目 永和 所 有 子 键 ; 


--recursive 


检查 现 有 的 值 是 否 匹 配 ; 


--with-value 


检查 现 有 的 index 是 否 匹配 。 


--with-index'O' 


6.watch 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 会 输出 最 新 的 值 并 
退出 。 


例如 ， 用 户 更 新 testkey 键 值 为 Hello world ° 


$ etcdctl watch testkey 
Hello world 


文 持 的 选项 包括 : 


--forever 一 一 一 和 直 监 测 ， 直 到 用 户 按 `"CTRL+C` 退 出 ; 


--after-index'0' 在 指定 index 之 前 一 直 监 测 ; 


退回 所 有 的 键 值 和 子 键 值 。 


--recursive 


7.exec-watch 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 执行 给 定 命令 。 这 
个 功能 十 分 强大 ， 很 多 时 候 可 以 用 于 实时 根据 键 值 更 新 本 地 服务 的 配 
置信 息 ， 并 重新 加 载 服务 。 可 以 实现 分 布 式 应 用 配置 的 自动 分 发 。 


例如 ， 一 旦 检测 到 testkey 键 值 被 更 新 ， 则 执行 1s 命 令 。 


$ etcdctl exec-watch testkey -- sh -c 'ls' 
default.etcd 

Documentation 

etcd 

etcdct1 

etcd-migrate 

README-etcdct1.md 

README . md 


文 持 的 选项 包括 : 


--after-index'0' 在 指定 index 之 前 一 直 监 测 ; 


退回 所 有 的 键 值 和 子 键 值 。 


--recursive 


8.ls 


列 出 目录 (默认 为 根 目录 ) 下 的 键 或 者 子 目录 ， 默 认 不 显示 子 目 
录 中 内 容 。 例 如 : 


$ ./etcdctl set testkey 'hi' 


hi 

$ ./etcdctl set dir/test 'hello' 
hello 

$ ./etcdctl 1s 

/testkey 

/dir 

$ ./etcdctl ls dir 

/dir/test 


文 持 的 选项 包括 : 


将 输出 结果 排序 


--SOrt 


如 果 目 录 下 有 子 目 录 ， 则 递归 输出 其 中 的 内 容 


“--recursive 

-一 一 对 于 输出 为 目 永 ， 在 最 后 添加 /进行 区 分 

9.mkdir 

如 采 给 定 的 键 目录 不 存在 ， 则 创建 一 个 新 的 键 目 录 。 例 如 : 
$ etcdctl mkdir testdir 

当 键 目录 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 


$ etcdctl mkdir testdir 
$ etcdctl mkdir testdir 


Error: 105: Key already exists (/testdir) [7] 


支持 的 选项 为 --t'0'"， 超 时 时 间 〈 单 位 为 秒 ) ， 不 配置 〈 默 认为 0) 
则 永 不 超时 。 


10.rmdir 
删除 一 个 空 目 录 ， 或 者 键 值 对 。 奇 目录 不 空 ， 会 报错 ， 例 如 : 


$ etcdctl set /dir/testkey hi 

hi 

$ etcdctl rmdir /dir 

Error: 108: Directory not empty (/dir) [13] 


11.setdir 


创建 一 个 键 目 孙 ， 无 论 存 在 与 否 。 实 际 上 ， 目 前 版 本 当 目录 已 经 
存在 的 时 候 会 报错 。 例 如 : 


$ etcdctl setdir /test/test 
$ etcdctl ls --recursive 
/test 

/test/test 


支持 的 选项 为 --t'0'"， 超 时 时 间 〈 单 位 为 秒 ) ， 不 配置 〈 默 认为 0) 
则 永 不 超时 。 


12.updatedir 


更 新 一 个 已 经 存在 的 目录 的 属性 (目前 只 有 存活 时 间 ) ， 例 如 : 


$ etcdctl mkdir /test/test --ttl 100 
$ etcdctl updatedir /test/test --ttl 200 


支持 的 选项 为 --t1'0， 存 活 时 间 〈 单 位 为 秒 ) ， 不 配置 (默认 为 0) 
则 永 不 超时 。 


22.3.2” 非 数据 类 操作 


非 数据 类 操作 不 直接 对 数据 本 身 进行 管理 ， 而 是 负责 围绕 集群 上 自 
身 的 一 些 配 置 。 


1.backup 
备份 Etcd 的 配置 状态 数据 目 孙 。 


文 持 的 选项 包括 : 


要 进行 备份 的 Etcd 的 数据 存放 目录 ; 


---data-dir 


备份 数据 到 指定 路 径 。 


'--backup-dir 
例如 ， 备 份 默认 配置 的 信息 到 当前 路 径 下 的 tnp 子 目录 : 


$ etcdctl backup --data-dir default.etcd --backup-dir tmp 


HEU &itmp Hk Pi f—"T member HK: 


$ ls tmp/member 
snap wal 


其 中 ，snap 为 快照 目 永 ， 保 存 节点 状态 快照 文件 (注意 这 些 快照 文 
件 定期 生成 ) ; wal 保 存 了 数据 库 预 写 日 志 信 
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预 写 日 志 要 求 数 据 库 在 发 生 实际 提交 前 必须 先 将 操作 写 入 日 志 ， 
可 以 保障 系统 在 有 骨 并 后 根据 日 志 回 复 状态 。 


2.cluster-health 


查看 Etcd 集 群 的 健康 状态 。 例 如 : 


$ etcdctl cluster-health 
member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 


支持 的 选项 包括 --forever， 每 隔 10 秒 钟 检 查 一 次 ， 直 到 手动 终止 
(通过 Ctrl+C 命 令 ) e 


3.member 


通过 list、add、remove 等 子 命令 列 出 、 添 加 、 删 除 Etcd 实 例 到 Etcd 
集群 中 。 


例如 本 地 局 动 一 个 Etcd 服 务实 例 后 ， 可 以 用 如 下 命令 进行 查看 默认 
的 实例 成 员 : 


$ etcdctl member list 


ce2a822cea30bfca: name-default peerURLs-http://localhost:2380,http://1localhost: 
7001 clientURLs-http://localhost:2379,http://localhost:4001 


4.import 
导入 旧版 本 (v0.4.*) 的 快照 文件 到 系统 。 
文 持 的 选项 包括 : 


.--Snap 一 一 快照 文件 路 径 ; 


--hidden'--hidden option--hidden option 一 一 隐藏 导入 的 键 值 空间 信 


-C10 一 一 并 发 导入 的 客户 端 数 。 
例如 ， 导 入 通过 backup 命 令 导出 的 快照 文件 : 


$ etcdctl import --snap tmp/member/snap/0000000000000003-0000000000061aa8.snap 


starting to import snapshot tmp/member/snap/0000000000000003-00000000000612a2a8. 
snap with 10 clients 


entering dir: / 
copying key: /key 1 
finished importing 1 keys 


5.user 


对 用 户 进行 管理 ， 包 括 一 系列 子 命令 : 


:add 一 一 添加 一 个 用 户 ; 


-get 一 一 查询 用 户 细 廊 ; 


list 一 一 列 出 所 有 用 户 ; 
remove 一 一 删除 用 户 ， 

grant 一 一 添加 用 户 到 角色 
Tevoke 一 一 删除 用 户 角色 
:passwd 一 一 修改 用 户 的 密码 。 


默认 情况 下 ， 需 要 先 创建 (启用) root 用 户 作 为 etcd 集 群 的 最 高 权 
限 管 理 


ji 


EN 


$ etcdctl user add root 
New password: 


创建 一 个 testuser 用 户 ， 会 提示 输入 密码 : 


$ etcdctl user add testuser 
New password: 


分 配 某 些 已 有 角色 给 用 户 : 


$ etcdctl user grant testuser -roles testrole 


6.role 


对 用 户 角色 进行 管理 ， 包 括 一 系列 子 命令 : 


add 一 一 添加 一 个 角色 ; 

get —— AWHEA; 

list 一 一 列 出 所 有 用 户 角 色 ; 

remove 一 一 市 除 用 户 角色 ; 

grant 一 一 添加 路 径 到 角色 控制 ， 可 以 为 read、write 或 者 readwrite; 
revoke 一 一 市 除 某 路 径 的 用 户 角 色 信 息 。 


默认 市 有 root、guest 两 种 角色 ， 前 者 为 全 局 最 高 权限 ， 后 者 为 不 市 
验证 情况 下 的 用 户 。 


例如 : 


$ etcdctl role add testrole 
$ etcdctl role grant testrole -path '/key/*' -read 


7.auth 


是 否 启 用 访问 验证 。enable 为 启用 ，disable 为 禁用 。 


例如 ， 在 root 用 户 创建 后 ， 启 用 认证 : 


$ etcdctl auth enable 


22.4 Etcd 集 群 管理 


Etcd 的 集群 也 采用 了 典型 的 “ 主 -从 ”模型 ， 通 过 Raft 协 议 来 体 证 在 一 
段 时 间 内 有 一 个 让 点 为 主 太 态 ， 其 他 市 点 为 从 让 点 。 一 旦 当主 市 上 扩 发 
生 故 障 ， 其 他 节点 可 以 目 动 再 重新 选举 出 新 的 主 节 点 。 


跟 其 他 分 布 式 系统 类 似 ， 集 群 中 市 点 个 数 推荐 为 奇数 个 ， 最 少 为 3 
个 【此 时 quorum 为 2)， 越 多 节点 个 数目 然 能 提供 更 多 的 见 余 性 ， 但 同 
时 会 市 来 号 数据 性 能 的 下 降 。 
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在 分 布 式 系统 中 一 个 很 重要 的 概念 为 quorum， 意 味 着 一 个 集群 正 
常 工作 需要 能 参加 投票 的 节点 个 数 的 最 小 值 ， 一 般 为 集群 大 小 的 一 半 
再 加 一 。 


22.4.1 构建 集群 


构建 集群 无 非 是 让 市 点 们 知道 自己 加 入 了 哪个 集群 ， 其 他 对 等 节 
点 的 访问 信息 是 什么 。 


Etcd 文 持 两 种 模式 来 构建 集群 ， 静态 配置 和 动态 探测 。 


1. 静 仿 配 置 集群 信息 


顾名思义 ， 静 态 配 置 束 是 提取 写 好 集群 中 的 有 关 信 息 。 


例如 ， 假 设 我 们 想 要 用 三 个 市 点 来 构建 一 个 集群 ， 地 址 分 别 为 : 


T m 


地 址 
Nodel 10.0.0.1 
10.0.0.2 


10.0.0.3 


首先 在 各 个 节点 上 将 地 址 和 别名 信息 添加 到 /etc/hosts: 


:10.0.0.1 Nodel 


:10.0.0.2 Node2 


:10.0.0.3 Node3 


可 以 通过 如 下 命令 来 局 动 各 个 节点 上 的 etcd 服 务 ， 分 别 命名 为 n1、 
n2 和 mn3。 


$ etcd --name n1 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node1:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node1:2380 \ 
--advertise-client-urls http://Node1:2379 \ 
--initial-advertise-peer-urls http://Node1:2380 \ 
--initial-cluster 

ni-http://Node1:2380,n2-http://Node2:2380, n3zhttp: //Node3:2380 


Tm2b, BUT: 


$ etcd --name n2 \ 
--initial-cluster-token cluster1i \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node2:2379,http://localhost:2379 N 
--listen-peer-urls http://Node2:2380 \ 
--advertise-client-urls http://Node2:2379 \ 
--initial-advertise-peer-urls http://Node2:2380 N 
--initial-cluster 
ni-http://Node1:2380,n2-http://Node2:2380, n3zhttp: //Node3:2380 


"ss. PT: 


$ etcd --name n3 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 
--advertise-client-urls http://Node3:2379 \ 
--initial-advertise-peer-urls http://Node3:2380 N 
--initial-cluster 
ni-http://Node1:2380,n2-http://Node2:2380, n3-http: //Node3:2380 


成 功 后 ， 可 以 在 任 一 下 点 上 通过 etcdctl 来 查看 当前 集群 中 的 成 员 信 


$ etcdctl member list 228428dce5ab59f3b: name-n3 peerURLs-http://Node3:2380 
clientURLs-http://Node3:2379 

5051932762b33d8e: name-ni peerURLs-http://Node1:2380 clientURLs-http://Node1:2379 

8ee612d82821a4e7: name-n2 peerURLs-http://Node2:2380 clientURLs-http://Node2:2379 


2. 动 态 发 现 


静态 配置 的 方法 虽然 简单 ， 但 是 如 果蔬 点 信息 需要 变动 的 时 候 ， 
瑟 需 要 手动 进行 修改 。 


很 目 然 ， 可 以 通过 动态 发 现 的 方法 ， 让 集群 自动 更 新 市 点 信息 
要 实现 动态 发 现 ， 首 先 需 要 一 套 文 持 动 态 发 现 的 服务 。 


CoreOS 提 供 了 一 个 公开 的 Etcd 发 现 服务 ， 地 址 在 
https:/discovery.etcd.io。 使 用 该 服务 的 步骤 也 十 分 简单 。 


首 移 ， 为 有 要 创建 的 集群 申请 一 个 独一无二 的 uuid， 需 要 提供 的 唯一 
参数 为 集群 中 市 点 的 个 数 : 


N 


$ curl https://discovery.etcd.io/new?size-3 
https://discovery.etcd.io/7f66dc8d468a1c940969a8Cc329ee329a 


返回 的 地 址 ， 丈 是 该 集群 要 实现 动态 发 现 的 独一无二 的 地 址 。 分 
别 在 各 个 节 感 上 指定 服务 发 现 地 址 信息 ， 蔡 代 挥 原先 动态 指定 的 节 扩 
Ax o 


$ etcd --name n1 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node1:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node1:2380 \ 
--advertise-client-urls http://Node1:2379 \ 
--initial-advertise-peer-urls http://Node1:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8c329ee329a 


TAZE, PUT: 


$ etcd --name n2 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 


--listen-client-urls http://Node2:2379,http://localhost:2379 N 
--listen-peer-urls http://Node2:2380 \ 

--advertise-client-urls http://Node2:2379 \ 
--initial-advertise-peer-urls http://Node2:2380 N 

--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8Cc329ee329a 


$ etcd --name n3 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 
--advertise-client-urls http://Node3:2379 \ 
--initial-advertise-peer-urls http://Node3:2380 N 
--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8Cc329ee329a 


当然 ， 用 户 也 可 以 配置 私有 的 服务 。 


另外 一 种 实现 动态 发 现 的 机 制定 通过 DNS 域名 ， 即 为 每 个 节点 指 
定 同 一 个 子 域 的 域名 ， 然 后 通过 域名 发 现 来 日 动 注 册 。 例 如 ， 三 个 市 
点 的 域名 分 别 为 : 


n1.mycluster.com 
n2.mycluster.com 


n3.mycluster.com 


则 局 动 参数 中 的 集群 太后 列表 信息 可 以 车 换 为 -discovery-srv 


mycluster.com ° 


22.4.2 ”集群 参数 配置 


影响 集群 性 能 的 因素 可 能 有 很 多 ， 包 括 时 间 同 步 、 网 络 拌 动 、 存 
储 压力 、 读 写 压 力 等 ， 需 要 通过 优化 配置 尽量 减少 这 些 因素 的 影响 。 


1. 时 钟 同 步 


对 于 分 布 式 集群 来 说 ， 各 个 斑点 上 的 同步 时 钟 十 分 重要 ，Etcd 集 群 
需要 各 个 节点 时 钟 差异 不 超过 1s， 否 则 可 能 会 导致 Raft 协 议 的 异常 。 


因此 ， 各 个 节点 要 局 动 同步 时 钟 协议 。 以 Ubuntu 系 统 为 例 : 


$ sudo aptitude install ntp 
$ sudo service ntp restart 


用 户 也 可 以 修改 /etc/ntp.conf 文 件 ， 来 指定 ntp 服 务 嚣 地址， 建议 多 
个 节点 采用 统一 的 配置 。 


2. 心 跳 消 轧 时 间 间 隔 和 选举 时 间 间 隔 


对 于 Etcd 集 群 来 说 ， 有 两 个 因素 十 分 重要 : 心跳 消 轧 时 间 间 隔 和 选 
举 时 间 间 隔 。 前 者 意味 着 主 世 点 每 隔 多 人 久 来 通过 心跳 消息 来 通知 从 证 
太 目 身 的 存活 状态 ， 后 者 意味 着 从 市 点 多 久 没 收 到 心跳 通知 后 可 以 洋 
试 发 起 选举 自身 为 主 节 点 。 显 然 ， 后 者 要 比 前 者 大 ， 一 般 建议 设 为 前 
着 的 5 倍 以 上 。 时 间 越 短 ， 发 生 政 障 后 恢复 越 快 ， 但 心跳 信息 占用 的 计 
算 和 网 络 资源 也 越 多 。 


默认 情况 下 ， 心 跳 消 息 间 陋 为 100ms。 选 举 时 间 间 隔 为 1s (上限 为 
50s， 但 完全 没 必 要 这 么 长 ) 。 这 个 配置 在 本 地 局 域 网 环境 下 是 比较 合 
适 的 ， 但 是 对 于 跨 网 段 的 情况 ， 需 要 根据 万 点 之 间 的 RIT 适 当 进 行 调 


o 


is 


可 以 在 启动 服务 时 候 通 过 -heartbeat-interval 和 -election-timeout 参 数 


来 指定 。 
例如 ， 一 般 情况 下 ， 跨 数据 中 心 的 集群 可 以 配置 为 : 


$ etcd -heartbeat-interval-200  -election-timeout-2000 


$ ETCD HEARTBEAT INTERVAL-100 ETCD ELECTION TIMEOUT-500 etcd 


对 于 跨 地 域 的 网 络 (例如 中 美 之 间 的 数据 中 心 RTT 往 往 在 数 百 
ms) ， 还 可 以 适当 延长 。 


3.snapshot 频 率 


Etcd 会 定期 地 将 数据 的 修改 存储 为 snapshot， 默 认 情 况 下 每 10000 次 
修改 才 会 存 一 个 snapshot。 在 存储 的 时 候 会 有 大 量 数据 进行 写 入 ， 影 响 
Etcd 的 性 能 。 


建议 将 这 个 值 调 整 的 小 一 些 ， 例 如 每 2000 个 修改 就 做 一 次 


snapshot ° 


$ etcd -snapshot-count=2000 


ETCD SNAPSHOT COUNT-2000 etcd 


4. 修 改 市 后 


无 论 生 添加 、 删 除 还 是 
保 先 修改 配置 信息 CENA 
等 ) ， 然 后 再 进行 操作 。 


迁移 万 点 ， 都 要 一 个 一 个 的 进行 ， 并 且 确 
点 广播 的 监听 地 址 、 集 群 中 节点 列表 


例如 要 删除 多 个 六 点 ， 当 有 主 节 点 要 被 删除 时 ， 需 要 先 删 掉 一 
个 ， 等 集群 中 状态 稳定 〈 新 的 主 节 点 重新 生成 ) 后 ， 再 删除 另外 节 


要 迁移 或 茶 换 市 点 的 时 候 ， 先 将 三 点 从 集群 中 删除 挥 ， 等 集群 状 
态 重 新 稳定 后 ， 表 添加 上 新 的 节点 。 当 然 ， 使 用 旧 节 点 的 数据 目录 文 
件 会 加 快 新 节点 的 同步 过 程 ， 但 是 要 保证 这 些 数据 是 完整 的 ， 且 是 比 
较 新 的 。 


5. H PCR 


Etcd 集 群 中 的 节点 会 通过 数据 目录 来 存放 修改 信息 和 集群 配置 。 


一 般 来 说 ， 当 某 个 节点 出 现 故 障 时 候 ， 本 地 数据 已 经 过 期 甚至 格 
式 破坏 。 如 采 只 是 简单 的 重 局 进程 ， 容 易 造 成 数据 的 不 一 致 。 


这 个 时 候 ， 保 险 的 做 法 是 先 通过 命令 (例如 etcdctl member 
rm[member]) 来 删除 该 节点 ， 然 后 清空 数据 目 永 ， 再 重新 作为 空 节 点 
加 入 。 


Etcd 提 供 了 -strict-reconfig-check 选 项 ， 确 你 当 集 群 状 态 不 稳定 时 候 
(例如 启动 节点 数 还 不 够 达到 guorum) 拒绝 对 配置 状态 的 修改 。 


6. 重 启 集 群 


极 病情 况 下 ， 集 群 中 大 部 分 节点 都 出 现 问 题 ， 需 要 重启 整个 集 
群 。 


这 个 时 候 ， 最 保险 的 办 法 是 找到 一 个 数据 记 杂 完整 且 比 较 新 的 节 
上 护 ， 先 以 它 为 唯一 节点 创建 新 的 集群 ， 然 后 将 其 他 节操 一 个 一 个 地 添 
加 进来 ， 添 加 过 程 中 注意 保证 集群 的 稳定 性 。 


22.5 KEME 


本 章 我 们 介绍 了 强大 的 分 布 式 键 值 数据 库 实现 Etcd， 包 括 如 何 利 
用 它 进 行 读 写 数据 等 操作 ， 以 及 Etcd 集 群 管理 的 一 些 要 点 。Etcd 提 供 
了 很 多 有 用 的 功能 ， 包 括 数据 监听 、 定 期 快照 等 。 


通过 实践 案例 ， 可 以 看 出 Etcd 的 功能 十 分 类 似 ZooKeeper， 但 作为 
后 起 之 秀 ， 它 在 REST 接 口 支持 、 访 问 权限 管理 、 大 量 数据 存储 方面 表 
现 更 为 优秀 。 同 时 ， 提 供 了 多 种 语言 (目前 包括 Python、Go ` Java 
等 ) 实现 的 客户 端 文 持 。 基 于 Etcd， 用 户 可 以 很 容易 地 实现 集群 中 的 
配置 管理 和 服务 发 现 等 复杂 功能 ， 类 似 项 目 还 包括 Consul 等 。 


第 23 章 ”Docker 三 剑客 之 Docker Machine 


Docker Machine 是 Docker 官 方 三 剑客 项 目 之 一 ， 负 责 使 用 Docker 
的 第 一 步 ， 在 多 种 平台 上 快速 安装 Docker 环 境 。 它 支持 多 种 平台 ， 让 
用 户 可 以 在 很 短 时 间 内 搭建 一 套 Docker 主 机 集群 。 


本 章 将 介绍 Docker Machine 项 目的 具体 情况 ， 以 及 安装 和 使 用 命 


令 。 


23.1 Ar 


Machine 项 目 是 Docker 官 方 的 开源 项 目 ， 负 员 实 现 对 Docker 主 机 本 
身 进 行 管理 ， 其 代码 在 https://github.com/docker/machine 上 开源 。 


Machine 项 目 主要 由 Go 编写 ， 用 户 可 以 在 本 地 任意 指定 被 Machine 
管理 的 Docker 主 机 ， 并 对 其 进行 操作 。Machine 定 位 是 “在 本 地 或 者 云 环 
境 中 创建 Docker 主 机 (Create Docker hosts on your computer, on cloud 


?» o 


providers, and inside your own data center.) 
其 基本 功能 包括 : 
在 指定 节点 上 安装 Docker 引 擎 ， 配 置 其 为 Docker 主 机 ; 


.集中 管理 所 有 Docker 主 机 。 


Machine 连 接 不 同类 型 的 节点 是 通过 不 同 驱 动 指 定 的 ， 目 前 已 经 支 
持 了 包括 IBM、Amazon、Google 等 多 家 数据 中 心 的 云 主 机 。 


23.2 ”安装 Machine 

Docker Machine 可 以 在 多 种 操作 系统 平台 上 安装 ， 包 括 Linux、 
Mac OS 以 及 Windows。 

1.Linux 平 台 上 的 安装 


在 Linux 平 台 上 的 安装 十 分 简单 ， 推 荐 从 官方 Release 库 
(https://github.com/docker/machine/releases) 直接 下 载 编 译 好 的 二 进 制 
文件 即 可 。 


例如 ， 在 Linux 64 位 系统 上 直接 下 载 对 应 的 二 进 制 包 ， 以 最 新 的 
0.8.0 为 例 。 


€ 


curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker- 
machine linux-amd64.zip »machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && N 
sudo mv -f docker-machine* /usr/local/bin 
sudo chmod +x /usr/local/bin/docker-machine* 


€ 


REXER ERNS : 


$ls /usr/local/bin/docker-machine* 
/usr/local/bin/docker-machine 
/usr/local/bin/docker-machine-driver-google 
/usr/local/bin/docker-machine-driver-virtualbox 
/usr/local/bin/docker-machine-driver-amazonec2 
/usr/local/bin/docker-machine-driver-hyperv 
/usr/local/bin/docker-machine-driver-vmwarefusion 
/usr/local/bin/docker-machine-driver-azure 
/usr/local/bin/docker-machine-driver-none 


/usr/local/bin/docker-machine-driver-vmwarevcloudair 
/usr/local/bin/docker-machine-driver-digitalocean 
/usr/local/bin/docker-machine-driver-openstack 
/usr/local/bin/docker-machine-driver-vmwarevsphere 
/usr/local/bin/docker-machine-driver-exoscale 
/usr/local/bin/docker-machine-driver-rackspace 
/usr/local/bin/docker-machine-driver-generic 
/usr/local/bin/docker-machine-driver-softlayer 


可 以 看 到 ， 主 要 包括 dockermachine 主 命令 ， 和 一 系列 的 张 动 ， 这 


些 有 驱动 支持 Docker Machine S EAEE E ERIT ° 


EREN, TUBMUMBA. WUZITE A: 


$ $docker-machine -v 
docker-machine version 0.8.0 (5ab2ale) 


2 Mac OS 系统 上 的 安装 


Mac OS 平台 上 的 安装 跟 Linux 平 台 十 分 类 似 ， 唯 一 不 同 是 下 载 二 
进 制 文件 的 路 径 不 同 。 


例如 ， 同 样 是 0.8.0 版 本 ，Mac OS 平台 对 应 的 路 径 为 
https://github.com/docker/machine/releases/download/v0.8.0/docker- 


machine darwin-amd64.zip ° 
3.Windows 系 统 上 的 安装 


Windows 下 面 要 复杂 一 些 ， 首 先 需 要 安装 git-bash。git-bash 是 
Windows 下 的 git 客 户 端 软件 包 ， 会 提供 类 似 Linux 下 的 一 些 基 本 工具 ， 


例如 bash、curl、ssh 命 令 等 ， 最 新 版 本 为 2.6.3。 


包 


安装 之 后 ， 启 动 一 个 git-bash 的 命令 行 界面 ， 仍 然 通 过 下 载 二 进 
方式 安装 Docker Machine: 


$ if [[ ! -d "$HOME/bin" ]]; then mkdir -p "$HOME/bin"; fi && \ 
curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker- 
machine windows-amd64.zip »machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && \ 
mv -f docker-machine* "$HOME/bin" 


23.3 ”使 用 Machine 

Docker Machine 通 过 多 种 后 端 驱动 来 管理 不 同 的 资源 ， 包 括 虚拟 
机 、 本 地 主机 和 云 平 台 等 。 

通过 -d 选 项 可 以 选择 支持 的 驱动 类 型 。 


1. 虚 拟 化 平台 


可 以 通过 virtualbox 驱 动 支持 本 地 (需要 已 安装 virtualbox) 启动 一 
个 虚拟 机 并 配置 为 Docker 主 机 .: 


$ docker-machine create --driver=virtualbox vbox-instance 


将 启动 一 个 全 新 的 虚拟 机 ， 并 安装 Docker3 引 | 擎 。 
此 外 ， 还 支持 Microsoft Hyper-V EIF S ° 


2. 本 地 主机 


这 种 驱动 适合 主机 操作 系统 和 SSH 服 务 都 已 经 安装 好 ， 需 要 对 其 


安装 Docker 引 人 擎 。 


首先 确保 本 地 主机 可 以 通过 user 账 号 的 key 直 接 通过 ssh 连 到 目标 主 
机 。 使 用 generic 类 型 的 驱动 ， 注 册 一 台 Docker 主 机 ， 命 名 为 test: 


$ docker-machine create -d generic --generic-ip-address-10.0.100.102 --generic- 
ssh-user-user test 

Running pre-create checks... 

Creating machine... 

(test) OUT | Importing SSH key... 

Waiting for machine to be running, this may take a few minutes... 

Machine is running, waiting for SSH to be available... 

Detecting operating system of created instance... 

Detecting the provisioner... 

Provisioning created instance... 


从 命令 输出 上 可 以 看 到 ，Machine 通 连接 到 指定 节点 ， 并 在 
上 面 安 装 Docker 引 擎 


创建 主机 成 功 后 ， 可 以 通过 docker-machine ls 命令 来 查看 注册 到 本 
地 管理 列表 中 的 Docker 主 机 .: 


$ docker-machine 1s 
NAME ACTIVE DRIVER STATE URL SWARM 
test - generic Running tcp://10.0.100.102:2376 


还 可 以 通过 inspect 命 令 查看 指定 Docker 主 机 的 具体 信息 。 
3. 云 平台 驱动 


以 Amazon Web Services 云 平台 为 例 ， 配 置 其 上 的 虚拟 机 为 Docker 
主机 。 


需要 指定 Access Key ID ` Secret Access Key ^ VPC ID 等 信息 。 例 
如 : 


$ docker-machine create --driver amazonec2 --amazonec2-access-key AKI******* 
--amazonec2-secret-key 8T93C********* --amazonec2-vpc-id vpc-****** 


aws instance 


其 他 支持 的 云 平 台 还 包括 Microsoft Azure ` Digital Ocean ^ 


Exoscale ` Google Compute Engine ` Rackspace ` IBM Softlayer 等 。 


23.4 Machine 


每 个 命令 都 市 有 一 系列 参数 ， 可 以 通过 如 下 命令 来 查看 用 法 : 


docker-machine <COMMAND> -h 


3623-1 _ Machine 命令 列表 


命 令 说 明 
active 查看 当前 激活 状态 的 Docker 主机 
config 查看 到 激活 Docker 主机 的 连接 信息 
creat 创建 一 个 Docker 主机 
env 显示 连接 人 旬 革 个 主机 需要 的 趟 境 变量 
inspect 以 json 格式 输出 带 定 Docker 主机 的 详细 信息 
ip 获取 指定 的 Docker 主机 地 址 
kil- 直接 杀 死 指定 的 Docker 主机 
ls 列 出 所 有 管理 的 主机 
regenerate-certs 为 某 个 主机 重新 生成 TLS 认 让 信息 
restart 重启 指定 Docker 主机 
rm 删除 某 台 Docker 主机 、 对 应 虚 机 会 被 删除 
scp 在 Docker 主机 之 间 以 及 Docker 主机 和 本 地 之 间 通 过 sop 命令 来 远程 复制 文件 
ssh 通过 SSH 连 到 主机 上 ， 执 行 命令 
start 启动 一 个 指定 的 Docker 主机 。 旭 果 对 象 是 虚拟 机 ， 该 虚拟 机 将 被 启动 


获取 指定 Dockcr 主 机 的 状态 ， 包 活 Rarning、Paused、Saved、Stoppea、 


s-atus . 
Stopping, Starting, Error 等 

scop 停止 一 个 Docker 主机 

upgrace 将 指定 主机 的 Docker 版 本 更 新 为 最 新 

url 获取 指定 Docker 主机 的 监 昕 URL 

help, h 输出 帮助 信息 


格式 为 : docker-machine active[arg...] 


查看 当前 激活 状态 的 Docker 主 机 。 激 活 状 态 意味 着 当前 的 
DOCKER_HOST 环 境 变量 指向 该 主机 。 例 如 下 面 命令 列 出 当前 激活 主 
机 为 dev 主 机 : 


$ docker-machine ls 


NAME ACTIVE DRIVER STATE URL 
dev virtualbox Running tcp://192.168.56.102:2376 
staging * digitalocean Running tcp://104.236.60.101:2376 


$ echo $DOCKER HOST 
tcp://104.236.60.101:2376 
$ docker-machine active 
staging 


2.config 
格式 为 : docker-machine config[| OPTIONS ][arg...] 


查看 到 激活 Docker 主 机 的 连接 信息 。 例 如 下 面 显示 dev 主 机 的 连接 


=E: 


$ docker-machine config dev 


--tlsverify --tlscacert="/home/docker_user/.docker/machines/dev/ca.pem" -- 
tlscert-" 


/home/docker. user/.docker/machines/dev/cert.pem" --tlskeyz'"/home/docker user 
/.docker/machines/dev/key.pem" -H tcp://192.168.56.102:2376 


3.create 
格式 为 : docker-machine create[ OPTIONS ][arg....] 


创建 一 个 Docker 主 机 。 


选项 包括 : 
:--driver，-d"none" 指 定 驱 动 类 型 ， 


:--engine-install-url"https://get.docker.com" 配 置 Dokcer 主 机 时 候 的 安 
CURL; 


--engine-opt option 以 键 值 对 格式 指定 所 创建 Docker 引 警 的 参数 ; 


—engine-insecure-registry option 以 键 值 对 格式 指定 所 创建 Docker 引 
擎 允许 访问 的 不 支持 认证 的 注册 仓库 服务 ; 


--engine-registry-mirror option 指 定 使 用 注册 仓库 镜像 ; 


--engine-label option 为 所 创建 的 Docker3 引 | 擎 添加 标签 ; 


--engine-storage-driver 人 存储 后 端 驱 动 类 型 ， 

--engine-env option 指 定 环境 变量 ; 

--Swarm 指 定 使 用 Swarmi 

--swarm-image"swarm: latest" 使 用 Swarm 时 候 采 用 的 镜像 ; 
--Swarm-master 配 置 机 研 作 为 Swarm 集群 的 master 玫 点 ; 


--swarm-discovery Swarm 集群 的 服务 发 现 机 制 参 数 ; 


.--Swarm-strategy"spread"Swarm 默 认 调 度 策略 ; 
Tm 


--swarm-opt option 任 意 传 递 给 Swarm 的 参数 ; 


--swarm-host"tcp://0.0.0.0: 3376" 指 定 地 址 将 监听 Swarm master 17 


点 请 求 ; 
.--Swarm-addr 从 指定 地 址 发 送 广播 加 入 Swarm 集群 服务 。 
例如 ， 通 过 如 下 命令 可 以 创建 一 个 Docker 主 机 的 虚拟 机 镜像 : 


$ docker-machine create -d virtualbox \ 
--engine-storage-driver overlay \ 
--engine-label name-testmachine \ 
--engine-label year-2015 \ 
--engine-opt dnsz8.8.8.8 \ 
--engine-env HTTP PROXY-http://proxy.com:3128 N 
--engine-insecure-registry registry.private.com \ 
mydockermachine 


所 创建 Docker 主 机 虚拟 机 中 的 Docker 引 警 将 具有 如 下 动能 : 
:使 用 overlay 类 型 的 存储 驱动 ; 

. 带 有 name=testmachine 和 year=2015 两 个 标签 ; 

.引擎 采用 8.8.8.8 作 为 默认 DNS 

:环境 变量 中 指定 HTTP 代 理 服务 http://proxy.com:3128; 


:允许 使 用 不 带 验 证 的 注册 仓库 服务 registry.private.com ° 


4.env 
格式 为 : docker-machine env[|OPTIONS ][arg...] 
连接 到 某 个 主机 需要 的 环境 变量 。 


例如 ， 显 示 连 接 到 default 主 机 所 需要 的 环境 变量 


$ docker-machine env default 

export DOCKER_TLS_VERIFY="1" 

export DOCKER_HOST="tcp://192.168.56.102:2376" 

export DOCKER CERT_PATH="/home/docker_user/.docker/machine/certs" 
export DOCKER MACHINE NAME="default" 


5.inspect 
格式 为 : docker-machine inspect[ OPTIONS ][arg...] 
以 json 格 式 输出 指定 Docker 主 机 的 详细 信息 。 


例如 : 


$ docker-machine inspect default 
Í 
"DriverName": "virtualbox", 
"Driver": { 
"MachineName": "docker-host-128be8d287b2028316c0ad5714b90bcfc11f998056 
f2f790f7cifA3f3d1e6eda", 
"SSHPort": 22, 
"Memory": 1024, 
"DiskSize": 20000, 
"Boot2DOCkerURL": "", 
"IPAddress": "192.168.56.102" 


i 


6.ip 
获取 指定 Docker 主 机 地 址 。 


例如 : 


$ docker-machine ip default 
192.168.56.102 


7.kill 

直接 杀 死 指定 的 Docker 主 机 。 

指定 Docker 主 机 会 强行 停止 。 

8.ls 

列 出 所 有 管理 的 主机 。 

格式 为 :docker-machine Is[OPTIONS][arg...] 


例如 : 


$ docker-machine 1s 


NAME ACTIVE DRIVER STATE URL 

default - virtualbox Stopped 

testO - virtualbox Running tcp://192.168.56.105:2376 
testi - virtualbox Running tcp://192.168.56.106:2376 


test2 * virtualbox Running tcp://192.168.56.107:2376 


可 以 通过 --filter 来 只 输出 某 些 Docker 主 机 ， 支 持 过 滤器 包括 名 称 正 


则 表达 式 、 张 动 类 型 、Swarm 管 理 世 点 名 称 、 状 态 等 


例如 : 


$ docker-machine ls --filter state-Stopped 
NAME ACTIVE DRIVER STATE URL SWARM 
default - virtualbox Stopped 


:--quiet , -qik zb > 无 关 输 出 信息 ; 


---filter[--filter option--filter option] 只 输出 符合 过 滤 条 件 主 机 。 


23.5 ”本章 小 结 


本 章 介绍 了 Docker 三 件 套 之 一 ，Docker Machine 项 目 。 通 过 介绍 
可 以 看 出 ， 当 要 对 多 个 Docker 主 机 进行 配置 和 管理 时 ， 采 用 Docker 
Machine 将 十 分 方便 快捷 。 不 仅 提 高 了 操作 速度 ， 更 通过 批量 统一 的 管 
理 减 少 了 出 错 的 可 能 。 这 是 在 大 规模 集群 和 云 平台 环境 中 所 推荐 的 。 


配合 Compose 和 Swarm， 可 以 实现 完整 的 Docker 环 境 生 命 周 期 管 
理 。 


第 24 革 Docker 三 剑客 之 Docker Compose 


编排 (Orchestration) 功能 是 复杂 系统 实现 灵活 可 操作 性 的 关键 。 
特别 是 在 Docker 应 用 场景 中 ， 编 排 意 味 着 用 户 可 以 灵活 地 对 各 种 容器 
资源 实现 定义 和 管理 


作为 Docker 官 方 编排 工具 ，Compose 的 重要 性 不 言 而 喻 ， 它 可 以 
让 用 户 通 过 编写 一 个 人 简单 的 模板 文件 ， 快 速 地 创建 和 管理 基于 Docker 
容器 的 应 用 集群 。 


章 将 介绍 Compose 项 目的 具体 情况 ， 以 及 如 何 进 行 安 狐 和 使 
后 还 通过 两 个 具体 案例 来 展示 如 何 编写 Compose 模 板 文件 。 


H 
palli 


24.1 简介 


Compose 项 目 是 Docker 官 方 的 开源 项 目 ， 负 员 实 现 对 Docker 容 虱 集 
群 的 快速 编排 。 从 功能 上 看 ， 跟 OpenStack 中 的 Heat 十 分 类 似 。 其 代码 
目前 在 https://github.com/docker/compose 上 开源 。 


Compose 定 位 是 “定义 和 运行 多 个 Docker 容 器 的 应 用 *"， 其 前 身 是 开 
源 项 目 Fig， 目 前 仍然 兼容 Fig 格 式 的 模板 文件 。 


通过 第 一 部 分 中 的 介绍 ， 我 们 知道 使 用 一 个 Dockerfile 模 板 文件 ， 
可 以 让 用 户 很 方便 地 定义 一 个 单独 的 应 用 容器 。 然 而 ， 在 日 常 工 作 
中 ， 经 常会 磁 到 需要 多 个 容器 相互 配合 来 完成 某 项 任务 的 情况 。 例 如 
要 实现 一 个 Web 项 目 ， 除 了 Web 服 务 容器 本 喘 ， 往 往 还 需要 再 加 上 后 闪 
的 数据 库 服 务 容器 ， 甚 至 还 包括 负载 均衡 容 胡 等 。 


Compose 恰 好 满足 了 这 样 的 需求 。 它 允许 用 户 通 过 一 个 单独 的 
docker-compose.yml 模 板 文件 (YAML 格 式 ) 来 定义 一 组 相关 联 的 应 用 


容器 为 一 个 项 目 (project) 。 


Compose 中 有 两 个 重要 的 概念 : 


-服务 (service) : 一 个 应 用 的 容器 ， 实 际 上 可 以 包括 若干 运行 相 
同 镜像 的 容 磊 实例 。 


项目 (project) : 由 一 组 关联 的 应 用 容器 组 成 的 一 个 完整 业务 单 
元 ， 在 docker-compose.yml 文 件 中 定义 。 


Compose 的 默认 管理 对 象 是 项 目 ， 通 过 子 命令 对 项 目 中 的 一 组 容器 
进行 便捷 地 生命 周期 管理 。 


Compose 项 目 由 Python 编写 ， 实 现 上 调用 了 Docker 服 务 提 供 的 API 
来 对 容 希 进行 管理 。 因 此 ， 只 要 所 操作 的 平台 文 择 Docker API， 融 可 以 
在 其 上 利用 Compose 来 进行 编排 管理 。 


24.2 "EE 5 EI 


Compose 目 前 支持 Linux 和 Mac OS 平台 ， 两 者 的 安装 过 程 大 同 小 


异 。 


安装 Compose 之 前 ， 要 先 安装 Docker (需要 Docker Engine 
1.7.1+) ， 详 细 步 又 请 参考 第 一 部 分 中 的 内 容 。 


Compose 可 以 通过 Python 的 pip 工 具 进 行 安装 ， 可 以 直接 下 载 编译 
好 的 二 进 制 文 件 使 用 ， 甚 至 直接 运行 在 Docker 容 三 中 。 


前 两 种 方式 是 传统 方式 ， 适 合 本 地 环境 下 安 洲 使 用 ， 最 后 一 种 方 
式 则 不 破坏 系统 环境 ， 更 适合 云 计算 场景 。 


1.pip 安 装 


这 种 方式 是 将 Compose 当 作 一 个 Python 应 用 来 从 pip 源 中 安装 。 


$ sudo pip install -U docker-compose 


可 以 看 到 类 似 如 下 和 输出， 说明 安 痿 成 功 : 


Collecting docker-compose 
Downloading docker-compose-1.8.0.tar.gz (149kB): 149kB downloaded 


Successfully installed docker-compose cached-property requests texttable 
websocket - 
client docker-py dockerpty six enum34 backports.ssl-match-hostname ipaddress 


安装 成 功 后 ， 可 以 查看 docker-compose 命 令 的 用 法 : 


$ docker-compose -h 
Define and run multi-container applications with Docker. 
Usage: 
docker-compose [-f=<arg>...] [options] [COMMAND] [ARGS...] 
docker-compose -h|--help 
Options: 
-f, --file FILE Specify an alternate compose file (default: 
docker -compose.ym1l) 
-p, --project-name NAME Specify an alternate project name (default: 
directory name) 
- -x-networking (EXPERIMENTAL) Use new Docker networking 
functionality. 
Requires Docker 1.9 or later. 
--x-network-driver DRIVER (EXPERIMENTAL) Specify a network driver (default: 


"bridge"). 

Requires Docker 1.9 or later. 
- -verbose Show more output 
-V, --version Print version and exit 

Commands: 

build Build or rebuild services 
help Get help on a command 
kill Kill containers 
logs View output from containers 
pause Pause services 
port Print the public port for a port binding 
ps List containers 
pull Pulls service images 
restart Restart services 
rm Remove stopped containers 
run Run a one-off command 
scale Set number of containers for a service 
start Start services 
stop Stop services 
unpause Unpause services 
up Create and start containers 
migrate-to-labels Recreate containers to add labels 
version Show the Docker-Compose version information 


之 后 ， 可 以 添加 bash 补 全 命令 : 


$ curl -L 
https://raw.githubusercontent.com/docker/compose/1.8.0/contrib/completion 
/bash/docker-compose » /etc/bash completion.d/docker-compose 


2. 二 进 制 包 


官方 定义 编译 好 二 进 制 包 ， 供 大 家 使 用 。 这 些 发 布 的 二 进 制 包 可 
PA Ehttps://github.com/docker/compose/releases M [8] fK £I] ° 


这 些 二 进 制 文件 ， 下 载 后 直接 放 到 执行 路 径 下 ， 并 添加 执行 权限 
即 可 。 例 如 ， 在 Linux 平 台 上 : 


$ sudo curl -L https://github.com/docker/compose/releases/download/1.8.0/docker- 
compose- uname -S - uname -mò > /usr/local/bin/docker-compose 
$ sudo chmod a+x /usr/local/bin/docker-compose 


可 以 使 用 docker-compose version 命 令 来 查看 版 本 信息 ， 以 测试 是 
否 安装 成 功 : 


$ docker-compose version 

docker-compose version 1.8.0, build 94f7016 
docker-py version: 1.9.0 

CPython version: 2.7.6 

OpenSSL version: OpenSSL 1.0.1f 6 Jan 2014 


3 de HAT 


Compose 既 然 是 一 个 Python 必用 ， 目 然 也 可 以 直接 用 容 怖 来 执行 


B: 


$ curl -L https://github.com/docker/compose/releases/download/1.8.0/run.sh > 
/usr/local/bin/docker -compose 
$ chmod +x /usr/local/bin/docker -compose 


实际 上 ， 查 看 下 载 的 run.sh 脚 本 内 容 ， 如 下 所 示 : 


set -e 
VERSION="1.8.0" 
IMAGE="docker/compose:$VERSION" 
# Setup options for connecting to docker host 
if [ -z "$DOCKER_HOST" ]; then 
DOCKER HOST-"/var/run/docker . sock" 
fi 
if [ -S "$DOCKER HOST" ]; then 
DOCKER ADDR-"-v $DOCKER HOST:$DOCKER HOST -e DOCKER HOST" 
else 
DOCKER ADDR-"-e DOCKER HOST -e DOCKER TLS VERIFY -e DOCKER CERT PATH" 


fi 
# Setup volume mounts for compose config and context 
if [ "$(pwd)" != '/' ]; then 
VOLUMES-"-v $(pwd):$(pwd)" 
fi 


if [ -n "$COMPOSE FILE" ]; then 
compose dir-$(dirname $COMPOSE FILE) 
fi 
# TODO: also check --file argument 
if [ -n "$compose dir" ]; then 
VOLUMES-"$VOLUMES -v $compose dir:$compose dir" 
fi 
if [ -n "$HOME" ]; then 
VOLUMES-"$VOLUMES -v $HOME:$HOME -v $HOME:/root" # mount $HOME in /root to 
share docker.config 
fi 
# Only allocate tty if we detect one 
if [ -t 1 ]; then 
DOCKER RUN OPTIONS-"-t" 
fi 
if [ -t © ]; then 
DOCKER RUN OPTIONS-"$DOCKER RUN OPTIONS -i" 
fi 
exec docker run --rm $DOCKER RUN OPTIONS $DOCKER ADDR $COMPOSE OPTIONS $VOLUMES 
-w "$(pwd)" $IMAGE "$Q" 


可 以 看 到 ， 它 其 实 是 下 载 了 dockervcompose 镜 像 并 运行 。 
4. ENER 
如 果 是 二 进 制 包 方式 安装 的 ， 删 除 二 进 制 文件 即 可 : 


$ sudo rm /usr/local/bin/docker-compose 


如 有 条 是 通过 Python pip 工 具 安 泌 的 ， 则 可 以 执行 如 下 命令 删除 : 


$ sudo pip uninstall docker-compose 


24.3 ”Compose 命 令 说 明 


对 于 Compose 来 说 ， 大 部 分 命令 的 对 象 既 可 以 是 项 目 本 身 ， 也 可 以 
指定 为 项 目 中 的 服务 或 者 容器 。 如 琳 没 有 特别 说 明 ， 命 令 对 象 将 是 项 
目 ， 这 意味 着 项 目 中 所 有 的 服务 都 会 受到 命令 影响 。 


执行 docker-compose[COMMAND]--help 或 者 docker-compose 
help[COMMAND] 可 以 查看 具体 某 个 命令 的 使 用 格式 。Compose 命 令 的 
基本 的 使 用 格式 是 : 


docker-compose [-f-«arg»...] [options] [COMMAND] [ARGS...] 


命令 选项 如 下 : 


-f, --file FILE 指 定 使 用 的 Compose 模 板 文 件 ， 默 认为 docker- 


compose.yml， 可 以 多 次 指定 。 


-p. -project-name NAME 指 定 项 目 名 称 ， 移 认 将 使 用 所 在 目录 名 
称 作为 项 目 名 。 


--x-networking 使 用 Docker 的 可 拔 插 网 络 后 端 特性 (需要 Docker 1.9 
及 以 后 版 本 ) 


--x-network-driver DRIVER 指 定 网 络 后 端的 驱动 ， 默 认为 bridge 
(需要 Docker 1.9 及 以 后 版 本 ) 。 


.--Verbose 输 出 更 多 调试 信息 。 
'-V，--version 打 印 有 版 本 并 退出 


命令 列表 见 表 24-1。 


T 


3624-1 Compose 命 令 


命 令 说 明 
build Mg ii Hp gts doe 
help 获得 一 个 命令 的 帮助 
kill 通过 发 送 SIGEILL 信号 来 强制 停止 服务 容器 
logs 查看 服务 容 硕 的 输出 
pause 暂停 一 个 服务 容器 
CAE) 
fs 令 说 83 
port 打印 其 个 容器 端口 所 映射 的 公共 端口 
ps 3T 3f H rp H BUTS ECC eds 
pull tibi A fc gt rm 
restart 重启 项 目 中 的 服务 
rm 删除 所 有 《停止 状态 的 ) 服务 容器 
run 在 指定 服务 上 执行 一 个 命令 
scale 设置 指定 服务 运行 的 容器 个 数 
start 启动 已 经 存在 的 服务 容器 
stop 停止 已 经 处 于 运行 状态 的 容 岩 ， 但 不 删除 它 
unpause 恢复 处 于 暂停 状态 中 的 服务 
up 自动 完成 包括 爸 建 镜像 、 创 建 服务 、 启 动 服务 并 关联 服务 相关 容器 的 一 系列 操作 
nigrate-to-labels 重新 创建 容器 ， 并 添加 label 
version 打印 版 本 信息 


命令 使 用 说 明 如 下 。 


].build 


格式 为 docker-compose build[options][SERVICE...] ° 


构建 (重新 构建 ) 项 目 中 的 服务 容器 。 


服务 容器 一 旦 构建 后 ， 将 会 带 上 一 个 标记 名 ， 例 如 对 于 web 项 目 中 
的 一 个 db 容器 ， 可 能 是 web_ db。 可 以 随时 在 项 目 目录 下 运行 docker- 
compose build 来 重新 构建 服务 。 


选项 包括 : 
--force-rm 删 除 构建 过 程 中 的 临时 容器 。 


--no-cache 构 建 镜 像 过 程 中 不 使 用 缓存 (这 将 加 长 构建 过 程 ) 


-pull 始 终 壬 试 通过 拉 取 操作 来 获取 更 新 版 本 的 镜像 。 
2.help 

获得 一 个 命令 的 帮助 。 

3.kill 

格式 为 docker-compose kill[options]| SERVICE...] ° 


通过 发 送 SIGKILL 信 号 来 强制 停止 服务 容器 。 


支持 通过 -s 人 参数 来 指定 发 送 的 信号 ， 例 如 通过 如 下 指令 发 送 
SIGINT 信 号 : 


$ docker-compose kill -s SIGINT 


4.logs 
格式 为 docker-compose logs[options][SERVICE...] ° 


查看 服务 容 絮 的 输出 。 默 认 情 况 下 ，docker-compose 将 对 不 同 的 服 
务 输出 使 用 不 同 的 颜色 来 区 分 。 可 以 通过 --no-color 来 天 闭 颜 色 。 该 命 
令 在 调试 问题 的 时 候 十 分 有 用 。 


D.pause 

格式 为 docker-compose pause[ SERVICE...] 

暂停 一 个 服务 容器 。 

6.port 

格式 为 docker-compose port[options]SERVICE PRIVATE PORT 。 
显示 某 个 容 右 剖 口 所 映射 的 公共 端口 。 


选项 : 


--protocol=proto 指 定 端口 协议 ，TCP (默认 值 ) 或 者 UDP ° 
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序号 (默认 为 1) 。 
7.ps 
格式 为 docker-compose ps[options][SERVICE...] 
列 出 项 目 中 目前 的 所 有 容器 。 
选项 ，-q 只 打印 容 右 的 ID 信 息 。 
8.pull 
格式 为 docker-compose pull[options][SERVICE...] 
拉 取 服务 依赖 的 镜像 。 
选项 : --ignore-pull-failures 忽 略 拉 取 镜像 过 程 中 的 错误 。 
O.restart 
格式 为 docker-compose restart[options]| SERVICE...] ° 


重 局 项 目 中 的 服务 。 


选项 为 -t，--timeout TIMEOUT， 指 定 重启 前 停止 容器 的 超时 (ER 
认为 10 秒 ) 。 


10.rm 
格式 为 docker-compose rm[options][SERVICE...] ° 


删除 所 有 (停止 状态 的 ， 服 务 容器 。 推 荐 先 执 行 docker-compose 


stop 命 令 来 停止 容器 。 
选项 如 下 : 


-f，--force 强 制 直接 删除 ， 包 括 非 停止 状态 的 容器 。 一 般 尽 量 不 要 
使 用 该 选项 。 


-Vv 删除 容 絮 所 挂 载 的 数据 卷 。 
11.run 


格式 为 docker-compose run[options][-p PORT...][-e 
KEY=VAL...]JSERVICE[COMMAND][ARGS...] ° 


在 指定 服务 上 执行 一 个 命令 。 
例如 : 


$ docker-compose run ubuntu ping docker.com 


将 会 启动 一 个 ubuntu 服务 容器 ， 并 执行 ping docker.com 命 令 。 
默认 情况 下 ， 如 果 存 在 关联 ， 则 所 有 关联 的 服务 将 会 自动 被 启 
动 ， 除 非 这 些 服务 已 经 在 运行 中 。 该 命令 类 似 于 启动 容器 后 运行 指定 
的 命令 ， 相 关 卷 、 链 接 等 都 将 会 按照 配置 自动 创建 。 有 两 个 不 同 点 : 


JOE fig A EZ UH BUB Nb T. 
` 会 自动 创建 端口 ， 以 避免 冲突 。 
如 琳 不 布 望 目 动 局 动 天 联 的 容 右 ， 可 以 使 用 --no-deps 克 项 ， 例 如 : 


$ docker-compose run --no-deps web python manage.py shell 


将 不 会 启动 Web 容 器 所 关联 的 其 他 容器 。 


--name NAME 为 容器 指定 一 个 名 字 。 
--entrypoint CMD 和 窗 盖 默认 的 容 絮 局 动 指令 。 


.-eKEY=VAL 设 置 环境 变量 值 ， 可 多 次 使 用 选项 来 设置 多 个 环境 变 
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-TI 不 分 配 伪 tty， 意 味 着 依赖 tty 的 指令 将 无 法 运行 。 
12.scale 

格式 为 docker-compose scale[options][ SERVICE-NUM....] ° 
设置 指定 服务 运行 的 容 絮 个 数 。 

通过 service=num 有 的 参数 来 设置 数量 。 例 如 : 

docker-compose scale web=3 db=2 


秆 局 动 3 个 容 右 运行 web 服 务 ，2 个 容 右 运行 db 服务 。 一 般 情 况 下 ， 


于 该 服务 当前 实际 运行 容器 ， 将 新 创建 并 局 动容 右 ， 反 


EA 


选项 为 -t+，--timeout TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 


13.start 

格式 为 docker-compose start SERVICE...] ° 

局 动 已 经 存在 的 服务 容器 。 

14.stop 

格式 为 docker-compose stop[options][SERVICE...] ° 


停止 已 经 处 于 运行 状态 的 容器 ， 但 不 删除 它 。 通 过 docker-compose 


start 可 以 再 次 局 动 这 些 容 右 。 


选项 为 -t+，--timeout TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 


15.Unpause 
格式 为 docker-compose unpause[ SERVICE....] ° 
恢复 处 于 暂停 状态 中 的 服务 。 


16.up 


格式 为 docker-compose up[options][SERVICE...] ° 


该 命令 十 分 强大 ， 它 将 尝试 自动 完成 包括 构建 镜像 ， (重新 ) 创 
建 服 务 ， 局 动 服务 ， 并 关联 服务 相关 容器 的 一 系列 操作 。 和 链接 的 服务 
都 将 会 被 目 动情 动 ， 除 非 已 经 处 于 运行 状态 。 


可 以 说 ， 大 部 分 时 候 都 可 以 直接 通过 该 命令 来 局 动 一 个 项 目 。 默 
认 情 况 ，docker-compose up 局 动 的 容 絮 都 在 前 台 ， 控 制 台 将 会 同时 打印 
所 有 容器 的 输出 信息 ， 可 以 很 方便 进行 调试 。 当 通过 Ctrl-C 停 止 命令 
上 时， 所 有 容器 将 会 停止 。 如 果 使 用 docker-compose up-d， 将 会 在 后 台 启 
动 并 运行 所 有 的 容器 。 一 般 推荐 生产 环境 下 使 用 该 选项 。 默 认 情 况 ， 
如 果 服 务 容器 已 经 存在 ，docker-compose up 将 会 党 试 停止 容器 ， 然 后 重 
新 创建 〈 保 持 使 用 volumes-from 挂 载 的 卷 ) ， 以 保证 新 启动 的 服务 匹配 
docker-compose.yml 文 件 的 最 新 内 容 。 如 果 用 户 不 希望 容 句 被 停止 并 重 
新 创建 ， 可 以 使 用 docker-compose up--no-recreate。 这 样 将 只 会 启动 处 
于 停止 状态 的 容器 ， 而 忽略 已 经 运行 的 服务 。 如 果 用 户 只 想 重新 部 署 
某 个 服务 ， 可 以 使 用 docker-compose up--no-deps-d<SERVICE_NAME> 
来 重新 创建 服务 并 后 台 停止 旧 服 务 ， 启 动 新 服务 ， 并 不 会 影响 到 其 所 
依赖 的 服务 。 


--no-color 不 使 用 颜色 来 区 分 不 同 的 服务 的 控制 台 输 出 。 
--no-deps 不 启动 服务 所 链接 的 容器 。 


--force-recreate 强 制 重新 创建 容器 ， 不 能 与 --no-recreate 同 时 使 用 。 


--no-recreate 如 果 容 器 已 经 存在 了 ， 则 不 重新 创建 ， 不 能 与 --force- 
recreate 同 时 使 用 。 


--no-build 不 目 动 构 建 缺失 的 服务 镜像 。 
-t，--timeout TIMEOUT 停 止 容器 时 候 的 超时 〈 默 认为 10 秒 ) 。 
17.migrate-to-labels 


格式 为 docker-compose migrate-to-labels。 


重新 创建 容器 ， 并 添加 label 。 主要 用 于 升级 1.2 及 更 早 版 本 中 创建 
的 容器 ， 添 加 缺失 的 容器 标签 。 


实际 上 ， 最 彻底 的 办 法 当然 是 删除 项 目 ， 然 后 重新 创建 。 
18.version 


格式 为 docker-compose version ° 


打印 版 本 信息 。 


24.4 ”Compose 环 境 变 量 


环境 变量 可 以 用 来 配置 Compose 的 行为 ， 参 见 表 24-2。 以 
DOCKER_ 开 头 的 变量 和 用 来 配置 Docker 命 令 行 客户 端的 使 用 一 样 。 如 


果 使 用 boot2docker， 
变 量 


NS 


$(boot2docker shellinit) 将 会 设置 它们 为 正确 的 值 。 


表 24-2 “Compose 环 境 变 量 


说 W 


COMPOSE PROJECT NAME 


COMPOSE FILE 


COMPOSE API VERSION 


DOCKER HOST 


DOCKER TLS VERIFY 


设置 Compose [I] i AMPK, SEA E ATLE H RK Cdocker-compose.yml X 
件 所 在 目录 ) 的 名 字 

Compose 会 为 每 一 个 启动 的 容器 前 添加 的 项 目 名 称 。 例如 一 个 名 称 为 proj 
的 项 目 ， 其 中 的 一 个 web 容器 ， 和 名 称 可 能 为 nenep 

设置 要 使 用 的 docker-compose.yml 的 路 径 。 如 果 不 指定 ， 默 认 会 先 查 找 当 
前 工作 目录 下 是 否 存 在 docker-compose.yml 文件 ， 如 果 还 找 不 到 ， 则 继续 查 
找 上 层 目 录 

其 些 情况 下 ，Conmpose 发 出 的 Docker 请 求 的 版 本 可 能 Docker 服务 端 并 不 
支持 ， 可 以 通过 指定 API 版 本 来 临时 解决 这 一 问题 

在 生产 坏 境 中 个 推荐 使 用 这 一 临时 方案 ， 要 通过 适当 的 升级 来 保 让 客户 端 
和 服务 端 版 本 的 泵 容 性 

WE Docker 服务 端的 监听 地 址 。 黑 认 使 用 unix:///var/run/dockersock, 3H. 

也 是 Docker 客户 端 采 用 的 默认 值 

如 果 该 环境 变量 不 为 室 ， 则 与 Docker 服务 端的 所 有 交互 都 通过 TLS 协议 进 

fines 


DOCKER CERT PATH 


COMPOSE HTTP TIMEOUT 


配置 TLS 通信 所 需要 的 验证 文件 (包括 ca.pem, cert.pem 和 key.pem) 的 路 
径 ， 默 认 是 ~/.docker 
Compose 发 送 往 Docker 了 骤 务 端的 请 求 的 超时 ， 默 认为 60 fo 


24.5 Compose 模 板 文 件 


模板 文件 是 使 用 Compose 的 核心 ， 涉 及 的 指令 关键 字 也 比较 多 。 但 
大 家 不 用 担心 ， 这 里 的 大 部 分 指令 与 docker ran 相关 参数 的 含义 都 是 类 
似 的 。 


默认 的 模板 文件 名 称 为 docker-compose.yml， 格 式 为 YAML 格 式 。 


在 旧版 本 〈 版 本 1) 中 ， 其 中 每 个 顶级 元 素 为 服务 名 称 ， 次 级 元 素 
为 服务 容器 的 配置 信息 ， 例 如 : 
webapp: 
image: examples/web 
db. 
volunes: l : 
版 本 2 扩展 了 Compose 的 语法 ， 同 时 尽量 兼容 版 本 1， 除 了 可 以 声明 
网 络 和 存储 信息 外 ， 最 大 的 不 同一 是 添加 了 版 本 信息 ， 男 一 个 是 需要 


将 所 有 的 服务 放 到 services 根 下 面 。 


例如 ， 上 面 例子 改写 为 版 本 2， 内 容 为 : 


version: "2" 
services: 
webapp: 
image: examples/web 
ports: 
- "80:80" 


volumes: 
- "/data" 


注意 ， 每 个 服务 都 必须 通 指定 镜像 或 build 指 令 (需要 


Dockerfile) 等 来 自动 构建 生成 镜像 。 


过 image 指 令 


在 Dockerfile 中 设置 的 选项 (例如 : CMD ^ 
自动 被 获取 ， 无 需 在 docker- 


如 果 使 用 build 指 令 
EXPOSE ` VOLUME 、ENV 等 ) 将 会 


compose.yml 中 再 次 设置 。 


表 24-3 列 出 这 些 指令 的 功能 。 


表 24-3 Compose 模 板 文件 主要 指令 


E 令 功 能 
build 带 定 服务 镜像 Duckerfile 所 在 路 径 
cap acd, cap drop SEA 带 的 内 核能 力 (capacity) 分 配 
command 颖 盖 容 器 启动 后 默认 执行 的 命令 
cgroup pérent IKER cgroup 组 ， 意 味 着 将 继承 该 组 的 资源 限制 
container name 带 定 容 嚣 名称。 默认 将 会 使 用 项 目 名 称 _ 服务 名 称 _ 序 妃 这 样 的 格式 
devices 沸 定 设备 映射 关系 
dns 自 定义 DNS 服务 器 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 
dns search 配置 DNS 搜索 域 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 


dockerfile 


省 定额 外 编译 镜像 的 Dockefile 文件 ， 


可 以 通过 该 指令 来 指定 


可 以 为 单独 的 文件 路 径 或 列表 


env iile 从 文件 牛 获取 环境 变量 ， 

environment 设置 环境 变量 ， 可 以 使 用 数组 或 字典 两 种 格式 
expose 暴露 端口 

extencs 基于 其 他 模板 文件 进行 扩展 


external links 


extra hosts 


链接 到 docker-compose.yml 外 部 的 容器 ， 


sa 


入 定额 外 的 host 名 称 映 射 信息 


甚至 可 以 是 非 Compose 管理 的 外 部 


指定 为 镜像 名 称 或 镜像 ID 。 如 果 镜 像 在 本 地 不 存在 ，Compose 将 会 尝试 拉 取 这 


镜像 


image 


LENS 
labels 


功 能 
为 容器 添加 Docker 元 数据 (metadata) 信息 


links 
log criver 


log opt 


net 
pid 


ports 


secur-ty opt 
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JEE H SIK, MTF Docker 中 的 -log-driver 人 参数， 目前 支持 三 种 日 志 驱 动 
类 型 : log_driver: "json-file", log driver: "syslog", log driver: "none" 
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之 问 可 以 通过 进程 ID 来 相互 访问 和 操作 

暴露 端口 信息 

指定 容器 模板 标签 (label) 机 制 的 默认 属性 (如 用 户 、 角 色 、 类 型 、 级 别 等 ) 


alimits 
volumes 


volumes driver 


va umes from 


1.Build 指 令 


指定 容 天 的 ulimits KR d] [Ef 

数据 着 所 挂 载 路 其 设置 。 可 以 设置 宿主 机 路 径 ( BOSC: CONTAINER) 或 加 上 访问 
模式 ‘HOST:CONTAINER: ro) 

较 新 版 本 的 Docker 支持 数据 卷 的 插件 驱动 

从 男 一 个 服务 或 容器 挂 载 它 的 数据 卷 


分 指令 的 用 法 。 


指定 Dockerfile 所 在 文件 夹 的 路 径 〈 可 以 是 绝对 路 径 ， 或 者 相对 
docker-compose.yml 文 件 的 路 径 ) 。Compose 将 会 利用 它 自 动 构 建 这 
镜像 ， 然 后 使 用 这 个 镜像 : 


build: /path/to/build/dir 


2.cap add, cap drop 


指定 容器 的 内 核能 力 (capacity) 分 配 。 


例如 ， 证 容器 拥有 所 有 能 力 可 以 指定 为 : 


cap. add: 
- ALL 


去 掉 NET_ADMIN 能 力 可 以 指定 为 : 


cap. drop: 
- NET ADMIN 


3.command 
和 窗 盖 容器 启动 后 默认 执行 的 命令 : 
command: echo "hello world" 


4.cgroup parent 
指定 父 cgroup 组 ， 意 味 着 将 继承 该 组 的 资源 限制 。 
例如 ， 创 建 了 一 个 cgroup 组 名 称 为 cgroups_1: 


cgroup parent: cgroups 1 


5.container name 
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格式 。 例 如 : 


container_name: docker-web-container 


需要 注意 ， 指 定 容 器 名 称 后 ， 该 服务 将 无 法 进行 扩展 ， 因 为 
Docker 不 允许 多 个 容器 具有 相同 的 名 称 。 


6.devices 
指定 设备 映射 和 关系， 例如; 


devices: 
- "/gev/ttyUSB1: /dev/ttyUSBO" 


7.dns 
目 定 义 DNS 服 务 嚣 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 : 


dns: 8.8.8.8 
dns: 
- 8.8.8.8 
- 9.9.9.9 


8.dns_search 


配置 DNS 搜索 域 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 ; 


dns search: example.com 
dns search: 
- domaini.example.com 
- domain2.example.com 


9.Dockerfile 


如 有 果 需 要 ， 指 定额 外 的 编译 镜像 的 Dockefile 文 件 ， 可 以 通过 该 指 
令 来 指定 ， 例 如 : 


Dockerfile: Dockerfile-alternate 
LeS 
Qux E 


该 指令 不 能 跟 image 同 时 使 用 ， 否 则 Compose 将 不 知道 根据 哪个 指 
令 来 生成 最 终 的 服务 镜像 。 


10.env file 
从 文件 中 获取 环境 变量 ， 可 以 为 单独 的 文件 路 径 或 列表 。 


如 果 通 过 docker-compose-f FILE 方 式 来 指定 Compose 模 板 文件 ， 则 
env _file 中 变量 的 路 径 会 基于 模板 文件 路 径 。 


如 果 有 变量 名 称 与 environment 指 令 冲 突 ， 则 按照 惯例 ， 以 后 者 为 
准 : 


env_file: .env 
env_file: 

- ./common.env 

- ./apps/web.env 

- /opt/secrets.env 


环境 变量 文件 中 每 一 行 必须 符合 格式 ， 文 持 # 开 头 的 注释 行 


# common.env: Set development environment 
PROG ENV-development 


11.environment 
设置 环境 变量 ， 可 以 使 用 数组 或 字典 两 种 格式 。 


只 给 定名 称 的 变量 会 目 动 获 取 运 行 Compose 主 机 上 对 应 变量 的 值 ， 
可 以 用 来 防止 泄露 不 必要 的 数据 。 例 如 : 


environment: 
RACK ENV: development 
SESSION SECRET: 


或 者 : 


environment: 
- RACK ENV-development 
- SESSION SECRET 


注意 ， 如 果 变 量 名 称 或 者 值 中 用 到 truelfalse，yeslno 等 表达 布尔 合 
义 的 词汇 ， 最 好 放 到 引号 里 ， 避 免 YAML 自动 解析 某 些 内 容 为 对 应 的 布 
尔 语义 : 


http://yaml.org/type/bool.html 中 给 出 了 这 些 特定 词汇 ， 包 括 
y|Y|yes|Yes| YES|n|N|no|No|NO 
|true|True|TRUE|false|False|FALSE 
[|on|On|ON|off | Off | OFF 


12.expose 


桑 露 端口 ， 但 不 映 喘 到 御 主 机 ， 只 允许 能 被 连接 的 服务 访问 。 仅 
定 


可 以 指定 内 部 端口 为 参数 ， 如 下 所 示 : 
expose: 
- "3000" 
- "8000" 
13.extends 


基于 其 他 模板 文件 进行 扩展 。 例 如 ， 我 们 已 经 有 了 一 个 webapp 服 
务 ， 定 义 一 个 基础 模板 文件 为 common.yml， 如 下 所 示 : 


# common.yml 
webapp: 
build: ./webapp 
environment: 
- DEBUG=false 
- SEND_EMAILS=false 


再 编写 一 个 新 的 development.yml 文 件 ， 使 用 common.yml 中 的 
webapp 服 务 进行 扩展 : 


# development.yml 
web: 
extends: 
file: common.yml 
service: webapp 
ports: 
- "8000:8000" 
links: 
- db 
environment: 
- DEBUG-true 
db: 
image: postgres 


后 者 会 目 动 继承 common.yml 中 的 webapp 服 务 及 环境 变量 定义 。 


使 用 extends 需 要 注意 以 下 几 点 : 


:要 避免 出 现 循 环 依赖 ， 例 如 A 依赖 B，B 依 赖 C，C 反 过 来 依赖 A 的 
情况 。 


-extends 不 会 继承 links 和 volumes_from 中 定义 的 容器 和 数据 卷 资 
源 。 


一 般 情况 下 ， 推 荐 在 基础 模板 中 只 定义 一 些 可 以 共享 的 镜像 和 环 
境 变 量 ， 在 扩展 模板 中 具体 指定 应 用 变量 、 链 接 、 数 据 卷 等 信息 。 


14.external links 


链接 到 docker-compose.yml 处 部 的 容器 ， 甚 至 可 以 是 非 Compose 管 
理 的 外 部 容器 。 参 数 格 式 跟 links 类 似 : 


external links: 
- redis 1 
- project db 1:mysql 
- project db 1:postgresql 


15.extra hosts 


类 似 于 Docker 中 的 --add-host 参 数 ， 指 定额 外 的 host 名 称 映射 信息 ， 
例如 : 


extra_hosts: 
- "googledns:8.8.8.8" 
- "dockerhub:52.1.157.61" 


会 在 启动 后 的 服务 容器 中 /etc/hosts 文 件 中 添加 如 下 两 条 条 目 : 


8.8.8.8 googledns 
52.1.157.61 dockerhub 


16.image 


指定 为 镜像 名 称 或 镜像 ID。 如 有 果 镜 像 在 本 地 不 存在 ，Compose 将 会 
甘 试 拉 取 这 个 镜像 ， 例 如 : 


image: ubuntu 
image: orchardup/postgresql 
image: a4bc65fd 


17.labels 


为 容器 添加 Docker 元 数据 (metadata) 信息 。 例 如 ， 可 以 为 容器 添 
加 辅助 说 明 信 息 : 


labels: 
com.startupteam.description: "webapp for a startup team" 


com.startupteam.department: "devops department" 
com.startupteam.release: "rc3 for v1.0" 


18.links 


链接 到 其 他 服务 中 的 容器 。 使 用 服务 名 称 〈 同 时 作为 别名 ) , sk 
者 “服务 名 称 : 服务 别名 ”( 如 SERVICE: ALIAS) ， 这 样 的 格式 都 可 
以 ， 例 如 : 


- db:database 
- redis 


使 用 的 别名 将 会 目 动 在 服务 容器 中 的 /etc/hosts 里 创建 。 例 如 : 


172.17.2.186 db 
172.17.2.186 database 
172.17.2.187 redis 


所 连接 容器 中 相应 的 环境 变量 也 将 创建 。 
19.log driver 


类 似 于 Docker 中 的 --log-driver 参 数 ， 指 定 日 志 驱 动 类 型 。 目 前 支持 
三 种 日 志 驱 动 类 型 : 


log driver: "json-file" 
log driver: "syslog" 
log driver: "none" 


20.log opt 


日 志 驱 动 的 相关 参数 。 例 如 : 


log driver: "syslog" 
log opt: 
Syslog-address: "tcp://192.168.0.42:123" 


21.net 


设置 网 络 模 式 。 人 参数 类 似 于 docker client 的 --net 人 参数: 


net: "bridge" 

net: "none" 

net: "container:[name or id]" 
net: "host" 


22.pid 


跟 主 机 系统 共享 进程 命名 空间 。 打 开 该 选项 的 容器 之 间 ， 以 及 容 
锅 和 答 主 机 系统 之 间 可 以 通过 进程 ID 来 相互 访问 和 操作 : 


pid: "host" 


使 用 “宿主 : 容器 ”( 如 “HOST: CONTAINER?) 格式 ， 或 者 仅仅 


指定 容器 的 端口 〈 宿 主将 会 随机 选择 端口 ) : 
ports: 
- "3000" 
- "8000:8000" 
- "49100:22" 


- "127.0.0.1:8001:8001" 


Qus 


当 使 用 "HOST: CONTAINER" 格 式 来 映射 端口 时 ， 如 果 你 使 用 的 
容器 端口 小 于 60 并 且 没 放 到 引号 里 ， 可 能 会 得 到 错误 结果 ， 因 为 YAML 
会 自动 解析 xx: yy 这 种 数字 格式 为 60 进 制 。 为 避免 出 现 这 种 问题 ， 建 
议 数字 串 都 采用 引号 包括 起 来 的 字符 串 格 式 。 


24.security opt 


指定 容器 模板 标签 (label) 机 制 的 默认 属性 HP ` fe X 
型 、 级 别 等 ) 。 例 如 ， 配 置 标签 的 用 户 名 和 角色 名 : 


security opt: 
- label:user:USER 
- label:role:ROLE 


25.ulimits 


指定 容器 的 ulimits 限 制 值 。 例 如 ， 指 定 最 大 进程 数 为 66535， 指 定 
文件 句柄 数 为 20000 ( 软 限制 ， 应 用 可 以 随时 修改 ， 不 能 超过 硬 限 制 ) 
和 40000 (系统 硬 限制 ， 只 能 root 用 户 提 高 ) 。 


ulimits: 
nproc: 65535 
nofile: 
soft: 20000 
hard: 40000 


26.volumes 


数据 卷 所 挂 载 路 径 设 置 。 可 以 设置 宿主 机 路 径 (HOST: 
CONTAINER) 或 加 上 访问 模式 (HOST: CONTAINER: ro) 。 该 指令 
中 路 径 支 持 相 对 路 径 。 例 如 : 


volumes: 
- /var/lib/mysql 
- cache/:/tmp/cache 
- ~/configs:/etc/configs/:ro 


27.volumes_driver 


较 狐 版 本 的 Docker 文 持 数据 卷 的 插件 驱动 。 用 户 可 以 先 使 用 第 三 
方 驱动 创建 一 个 数据 卷 ， 然 后 使 用 名 称 来 访问 它 。 此 时 ， 可 以 通过 


volumes_driver 来 指定 驱动 : 


volume_driver: mydriver 


28.volumes_from 
从 男 一 个 服务 或 容 絮 挂 载 它 的 数据 卷 : 


volumes from: 
- service name 
- container name 


29. 其 他 指令 


此 外 ， 还 有 包括 cpu_shares、cpuset、domainname、entrypoint、 


hostname ^ ipc ^ mac address ^ mem limit ^ memswap limit ^ 


privileged ` read. only ` restart ^ stdin open ^ tty、user、working_dir 等 指 


令 ， 基 本 跟 dockerrun 中 对 应 参数 的 功能 一 致 。 


例如 ， 指 定 使 用 CPU 核 0 和 核 1， 只 用 50% 的 CPU 资源 : 


cpu_shares: 73 
cpuset: 0,1 


entrypoint: /code/entrypoint.sh 


指定 容器 中 运行 应 用 的 用 户 名 : 


user: nginx 


指定 容 恬 中 工作 目录 : 


working_dir: /code 


指定 容 絮 中 搜索 域名 、 主 机 名 、mac 地 址 等 : 


domainname: your website.com 
hostname: test 
mac address: 08-00-27-00-0C-0A 


指定 容器 : 


ipc: host 


指定 容 絮 中 内 存 和 内 存 交 换 区 限制 都 为 1G: 


mem limit: 1g 
memswap limit: 1g 


允许 容器 中 运行 一 些 特权 命令 : 
privileged: true 


指定 容器 退出 后 的 重启 策略 为 始终 重启 。 该 命令 对 保持 服务 始终 
运行 十 分 有 效 ， 在 生产 环境 中 推荐 配置 为 always 或 者 unless-stopped: 


restart: always 


以 只 读 模 式 挂 载 容器 的 root 文 件 系统 ， 意 味 着 不 能 对 容器 内 容 进 行 
修改 : 


read_only: true 


打开 标准 输入 ， 可 以 接受 外 部 输入 : 


stdin open: true 


模拟 一 个 假 的 远程 控制 台 : 


tty: true 


30. 读 取 环 境 变 量 


从 1.5.0 版 本 开始 ，Compose 模 板 文件 文 持 动 态 读 取 主 机 的 系统 环境 


o 


2 


paju 


例如 ， 下 面 的 Compose 文 件 将 从 运行 它 的 环境 中 读 取 变量 
${MONGO_VERSION} 的 值 ， 并 将 其 写 入 执行 的 指令 中 : 


db: 
image: "mongo :${MONGO_VERSION}" 


如 果 执 行 MONGO_VERSION=3.0 docker-compose up 则 会 局 动 一 个 
mongo: 3.2 镜 像 的 容器 ;如果 执行 MONGO_VERSION=2.8 docker- 
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compose up 则 会 启动 一 个 mongo: 2.8 镜 像 的 容器 。 


24.6 ComposeNHi2&f/|—: Web 335] f] 


负载 均衡 器 +Web 应 用 是 十 分 经 典 的 应 用 结构 。 下 面 ， 笔 者 将 创建 
一 个 该 结构 的 Web 项 目 : 将 Haproxy 作 为 负载 均衡 器 ， 后 端 挂 载 三 个 
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首先 创建 一 个 haproxy_web 目 录 ， 作 为 项 目 工 作 目 录 ， 并 在 其 中 分 
别 创 建 两 个 子 目录 : web 和 haproxy。 


1.web 子 目录 


在 web 子 日 录 下 将 放置 所 需 Web 应 用 代码 和 Dockerfile， 下 面 将 生成 
需要 的 Web 镜 像 。 


这 里 用 Python 程 序 来 实现 一 个 简单 的 Web 应 用 ， 该 应 用 能 响应 
HTTP 请 求 ， 返 回 的 页 面 将 打印 出 访问 着 的 IP 和 啊 应 请 求 的 后 妆容 如 的 
IP ° 


(1) index.py 
编写 一 个 index.py 作 为 服务 器 文件 ， 代 码 为 


z!/usr/bin/python 

4authors: yeasy.github.com 

#date: 2013-07-05 

import sys 

import BaseHTTPServer 

from SimpleHTTPServer import SimpleHTTPRequestHandler 


Import Socket 

import fcntl 

import struct 

import pickle 

from datetime import datetime 

from collections import OrderedDict 

class HandlerClass(SimpleHTTPRequestHandler): 


def 


def 


get ip address(self,ifname): 
S = socket.socket(socket.AF INET, socket.SOCK DGRAM) 
return socket.inet ntoa(fcntl.ioctl( 
s.fileno(), 
0x8915, # SIOCGIFADDR 
struct.pack('256s', ifname[:15]) 
)[20:24]) 
log message(self, format, *args): 
if len(args) « 3 or "200" not in args[1]: 
return 
try: 
request - pickle.load(open("pickle data.txt","r")) 
except: 
request-OrderedDict() 
time now - datetime.now() 
ts = time now.strftime('9?5Y-96m-96d 96H:96M :96S ' ) 
server = self.get ip address('eth0') 
host-zself.address string() 
addr pair - (host,server) 
if addr pair not in request: 
request[addr pair]-[1,ts] 
else: 
num = request[addr pair][0]-*1 
del request[addr pair] 
request[addr pair]-[num,ts] 
filezopen("index.html", "w") 
file.write("«!DOCTYPE html» «html» «body»«center»«hi»«font color=\"blue\" 
face-V'Georgia, Arial\" size=8><em>HA</em></font> Webpage Visit 
Resultsc/hi»«/center»"); 
for pair in request: 
if pair[0] -- host: 
guest = "LOCAL: "-«pair[0] 
else: 
guest = pair[0] 
if (time now-datetime.strptime(request[pair][1], '?6Y-96m-96d 96H :96M :96S ' )) 
,Seconds < 3: 
file.write("«p style=\"font-size:150%\" >#"+ str(request[pair] 
[1]) +": «font colorzN"redN"2"«str(request[pair][0])* "«/ 
font» requests " + "from &lt«font color=\"blue\">"+guest+" 
«/font»&gt to WebServer &lt«font color=\"blue\">"+pair[1]+" 
«/font»&gt«/p»") 
else: 
file.write("«p style=\"font-size:150%\" >#"+ str(request[pair] 
[1]) +": «font color=\"maroon\">"+str(request[pair][0])+ 
"</font> requests " + "from &lt«font color=\"navy\">"+guest+ 
"«/font»&gt to WebServer &lt«font color=\"navy\">"+pair[1]+ 
"«/font»&gt«/p»") 
file.write("«/body» </html>"); 
file.close() 
pickle.dump(request,open("pickle data.txt","w")) 


if name == ' qain ' 


try: 


ServerClass = BaseHTTPServer.HTTPServer 
Protocol "HTTP/1.0" 
addr - len(sys.argv) « 2 and "0.0.0.0" or sys.argv[1] 


port = len(sys.argv) < 3 and 80 or int(sys.argv[2]) 
HandlerClass.protocol version - Protocol 
httpd - ServerClass((addr, port), HandlerClass) 
sa - httpd.socket.getsockname( ) 
print "Serving HTTP on", sa[0], "port", sa[1], "..." 
httpd.serve forever() 
except: 
exit() 


(2) index.html 
生成 一 个 临时 的 index.html 文 件 ， 其 内 容 会 由 index.py 来 更 新 : 


$ touch index.html 


(3) Dockerfile 
生成 一 个 Dockerfile， 部 署 该 web 应用， 内 容 为 : 


FROM python:2.7 
WORKDIR /code 

ADD . /code 

EXPOSE 80 

CMD python index.py 


2.haproxy T- H 5& 
该 目录 将 配置 haproxy 镜 像 。 
在 其 中 生成 一 个 haproxy.cfg 文 件 ， 内 容 为 : 


global 
log 127.0.0.1 localO 
log 127.0.0.1 locali notice 
maxconn 4096 
defaults 
log global 
mode http 


option httplog 

option dontlognull 

timeout connect 5000ms 

timeout client 50000ms 

timeout server 50000ms 
listen stats 

bind 0.0.0.0:70 

mode http 

stats enable 

stats hide-version 

stats scope . 

stats realm Haproxy* Statistics 

stats uri / 

stats auth user:pass 
frontend balancer 

bind 0.0.0.0:80 

mode http 

default backend web backends 
backend web backends 

mode http 

option forwardfor 

balance roundrobin 

server weba weba:80 check 

server webb webb:80 check 

server webc webc:80 check 

option httpchk GET / 

http-check expect status 200 


3.docker-compose.yml X. 4# 


在 haproxy_web 目 孙 下 编写 一 个 docker-compose.yml 文 件 ， 该 文件 是 
Compose 使 用 的 主 模板 文件 。 其 中 ， 指 定 启动 3 个 Web 容 器 (weba ` 
webb ^ webc) ， 以 及 1 个 Haproxy 容 器 : 


# This will start a haproxy and three web services. haproxy will act as a 
loadbalancer. 
# Authors: yeasy.github.com 
# Date: 2015-11-15 
weba: 
build: ./web 
expose: 
- 80 
webb: 
build: ./web 
expose: 
- 80 
webc: 
build: ./web 
expose: 
- 80 
haproxy: 


image: haproxy:1.6 
volumes: 

- ./haproxy:/haproxy-override 

- ./haproxy/haproxy.cfg:/usr/1local/etc/haproxy/haproxy.cfg:ro 
links: 

- weba 

- webb 

- webc 


- "89:80" 
- "70:70" 


4.3511 composeJ/i H 
HiifEhaproxy. web H RMA KAE P BIBT: 


haproxy web|— docker-compose.yml|— haproxy | L— haproxy.cfg'— web 
I— Dockerfile 
[— index.html 
L— index.py 


在 该 目录 下 执行 sudo docker-compose up 命令 ， 控 制 台 会 整合 显示 
出 所 有 容器 的 输出 信息 .: 


$ sudo docker-compose up 
Recreating haproxyweb webb 1... 
Recreating haproxyweb webc 1... 
Recreating composehaproxyweb weba 1... 
Recreating composehaproxyweb haproxy 1... 
Attaching to composehaproxyweb webb 1, composehaproxyweb webc 1, 
composehaproxyweb . 
weba 1, composehaproxyweb haproxy 1 


此 时 通过 浏览 器 访问 本 地 的 80 端 口 ， 会 获取 到 页 面 信息 ， 如 图 24-1 
所 未。 


HA Webpage Visit Results 


2015-11-18 02:26:47: 2 requests from «LOCAL: 172.17.0.45» to WebServer «172.17.0.44» 


图 24-1 访问 页 面 信息 


经 过 Haproxy 上 自动 转发 到 后 端的 某 个 Web 容 器 上 ， 刷 新 页 面 ， 可 以 
观察 到 访问 的 容器 地 址 的 变化 。 


访问 本 地 70 端 口 ， 可 以 查看 到 Haproxy 的 统计 信息 ， 如 图 24-2 所 
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查看 本 地 的 镜像 ， 会 发 现 Compose 上 自动 创建 的 haproxyweb_weba、 
haproxyweb_webb、haproxyweb_webc 镜 像 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
haproxyweb webb latest 33d5e6f5e20b 44 minutes ago 675.2 MB 
haproxyweb weba latest 33d5e6f5e20b | 44 minutes ago 675.2 MB 
haproxyweb webc latest 33d5e6f5e20b 44 minutes ago 675.2 MB 


当然 ， 还 可 以 进一步 使 用 Consul 等 方案 来 实现 服务 目 动 发 现 ， 这 样 
就 可 以 不 用 手动 指定 后 端的 web 容 器 了 ， 更 为 灵活 。 


AProxy 
tatistics Report Tor pid 1 


baci 
iw DOWN guling up ff vach: dires 
active or backup DOWN | net checkec 
divo or baci = DOWN for rrainterianco iMN x 
Ip SOFT STOPPED for mai 
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图 24-2 ”访问 haproxy 的 统计 信息 


24.7 Compose HRPZ: 大 数据 Spark 集 群 


1. 简 介 


Spark 是 Berkeley 开 发 的 分 布 式 计算 的 框架 ， 相 对 于 Hadoop 来 说 ， 
Spark 可 以 缓存 中 间 结 果 到 内 存 从 而 提高 某 些 需要 迭代 的 计算 场景 的 效 
率 ， 目 前 受到 广泛 关注 。 


熟悉 Hadoop 的 读者 会 比较 轻松 ，Spark 很 多 设计 理念 和 用 法 都 跟 
Hadoop 保 持 一 致 和 相似 ， 并 且 在 使 用 上 完全 莱 容 HDFS。 但 是 Spark 的 
安装 并 不 容易 ， 依 赖 包 括 Java、Scala、HDFS 等 。 


通过 使 用 Docker Compose， 可 以 快速 地 在 本 地 搭建 一 套 Spark 环 
境 ， 方 便 大 家 开发 Spark 应 用 ， 或 者 扩展 到 生产 环境 。 


2. 准 备 工作 


这 里 ， 我 们 采用 比较 热门 的 sequenceiq/docker-spark 镜 像 ， 这 个 镜 
像 已 经 安装 了 对 Spark 的 完整 依赖 。 由 于 镜像 比较 大 (超过 2GB) ， 推 
荐 先 下 载 镜 像 到 本 地 : 


$ docker pull sequenceiq/spark:1.4.0 


(1) docker-compose.yml 文 件 


首先 新 建 一 个 spark_cluster 目 孙 ， 并 在 其 中 创建 一 个 docker- 
compose.yml 文 件 。 文 件 内 容 如 下 : 


master: 
image: sequenceiq/spark:1.4.0 
hostname: master 
ports: 
- "4040:4040" 
- "8042:8042" 
- "7077:7077" 
- "8088:8088" 
- "8080:8080" 
restart: always 
4mem limit: 1024m 
command: bash /usr/local/spark/sbin/start-master.sh && ping localhost » 
/dev/null 
worker: 
image: sequenceig/spark:1.4.0 
links: 
- master:master 
expose: 
" "989081" 
restart: always 
command: bash /usr/local/spark/sbin/start-slave.sh spark://master:7077 && 
ping localhost »/dev/null 


docker-compose.yml 中 定义 了 两 种 类 型 的 服务 : master 和 slave。 
master 类 型 的 服务 容 需 将 负责 管理 操作 ，worker 则 负责 具体 处 理 。 


(2) master 服 务 


master 服 务 映 射 了 好 儿 组 端口 到 本 地 ， 问 口 的 功能 如 下 : 


.4040: Spark 运 行 任务 时 候 提 供 Web 界 面 观察 任务 的 具体 执行 状 
况 ， 包 括 执行 到 哪个 阶段 、 在 哪个 executor 上 执行 ; 


.8042: Hadoop 的 节点 管理 界面 ; 


.7077: Spark 主 节点 的 监听 端口 ， 用 户 可 以 提交 应 用 到 这 个 端口 ， 
worker 节 点 也 可 以 通过 这 个 端口 连接 到 主 节 点 构成 集群 ; 


:8080: Spark 的 监控 界面 ， 可 以 看 到 所 有 worker、 应 用 的 整体 信 


.8088: Hadoop 集 群 的 整体 监控 界面 。 
(3) worker 服 务 


Xip T master P 53, JEJE, fAfT/usr/local/spark/sbin/start-slave.sh 
spark: //master: 7077 命 令 来 配置 目 己 为 workerT 点 ， 然 后 通过 ping 来 


注意 ， 启 动 脚 本 后 面 需要 提供 spark: /master: 7077 人 参数 来 指定 
master T A HEHE ° 


8081 端 口 提 供 的 Web 界 面 ， 可 以 看 到 该 workerT 点 上 任务 的 具体 执 
行情 况 ， 如 图 24-3 所 示 。 


， Spark Worker at 172.17-0.47:52698 


D: wcrker 20150922015507 172.17.0.47 52€98 
aster URL: spark://macter:7077 

ores: 8 (0 Used) 

lemory: 14./ GB (0.0 B Used) 


memory 
512.0 MB 


Job Detalls 


ID: app-201509220207 14-0000 
Name: Spark shell 

User root 

512.0 MB 


ID: app-20150S22021413-0001 
Name: Spark P 
User: root 


图 24-3 ”查看 任务 的 执行 情况 
3. 启 动 集群 


在 spark_cluster 目 录 下 执行 启动 命令 : 


$ docker-compose up 


docker-compose 服 务 运行 起 来 后 ， 我 们 还 可 以 用 scale 命 令 来 动态 扩 
展 Spark 的 worker 蔬 点数， 例如 : 


$ docker-compose Scale worker=2 


Creating and starting 2... done 


4. 执 行 应 用 


Spark 推 荐 用 spark-submit 命 令 来 提交 执行 的 命令 ， 基 本 语 ; 


b 


EN: 


spark-submit \ 


--class your-class-name \ 
--master master url \ 


your-jar-file 
app. params 


例如 ， 我 们 可 以 使 用 Spark 自 带 样 例 中 计算 Pi 的 应 用 。 
在 master 世 点 上 执行 如 下 命令 : 


/usr/local/spark/bin/spark-submit --master spark://master:7077 --conf "spark. 
eventLog.enabled-true" --class org.apache.spark.examples.SparkPi /usr/local/ 
spark/lib/spark-examples-1.4.0-hadoop2.6.0.jar 1000 


最 后 的 参数 1000 表 示 要 计算 的 迭代 次 数 为 1000 次 。 


任务 运行 中 ， 可 以 用 浏览 器 访问 4040 端 口 ， 看 到 任务 被 分 配 到 了 
两 个 worker 末 点 上 执行 ， 如 图 24-4 所 示 。 


Spaik PNN Jobs Stages Storage Environment Exacuicrs Spark Pi application UI 


Executors (3) 


Memory: 0.0 B Used (796.2 MB Total) 

Disk: 0.0 B Used 

| Executor RDD Memory Disk |Active ccmplete Total Task Shuffle | Shuffle | Thread 
Address Blocks | Used Used | Tasks Tasks Tasks |Time — Input Read White Logs |Dump 
| | 


172 17.0.47.52096 0 008/2654 |00B p məs |poB ooB laos |sdou|Tmead 
| stderr | Dump 


172.17.0.49:55454 0 0.0 B / 265.4 |D.OB | 35s DOB 00B | 0.0B stdout | Thread 
stderr | Dump 


| 
17217046:35519 0 008/2654 |006 d 00B 00B as Thread 
Dump 


图 24-4 ”执行 应 用 


24.8 本章 小 结 


本 章 介 绍 了 Docker 的 官方 工具 Compose 的 安装 和 使 用 情况 ， 并 结 
合 两 个 具体 案例 展示 Compose 带 来 的 编排 能 


通过 Compose， 用 户 可 以 编写 和 分 发 一 个 简单 的 模板 文件 ， 快 速 
地 创建 一 套 基 于 Docker 容 器 的 服务 栈 。 在 Docker 三 剑客 中 ，Compose 
掌管 运行 时 的 编排 能 力 ， 位 置 十 分 关键 。 


推荐 读者 在 日 党 工作 中 注意 使 用 Compose 来 编写 服务 模板 ， 并 注 
意 对 常见 工具 栈 的 模板 文件 进行 积累 。 


第 25 章 ”Docker 三 剑客 之 Docker Swarm 


Docker Swarm 是 Docker 官 方 的 三 剑客 项 目 之 一 ， 提 供 Docker 容 怖 
集群 服务 ， 是 Docker 官 方 对 容器 云 生 态 进 行文 持 的 核心 方案 。 使 用 
它 ， 用 户 可 以 将 多 个 Docker 主 机 封装 为 单个 大 型 的 虚拟 Docker 主 机 ， 
快速 打造 一 套 容器 云 平 台 。 


本 章 将 介绍 Swarm 项 目的 相关 情况 ， 以 及 如 何 进行 安装 和 使 用 ， 
最 后 将 对 Swarm 的 服务 发 现 后 端 、 调 度 器 和 过 滤 右 等 功能 进行 讲解 。 


25.1 简介 


Docker Swarm 是 Docker 公 司 推 出 的 官方 容 右 集群 平台 ， 基 于 Go 语 
言 实 现 ， 代 码 开源 在 https://github.com/docker/swarm。 目 前 ， 包括 
Rackspace 在 内 的 许多 平台 都 采用 了 Swarm， 用 户 也 很 容易 在 AWS 等 公 
有 云 平台 使 用 Swarm ° 


Swarm 的 前 身 是 Beam 项 目 和 libswarm 项 目 ， 首 个 正式 版 本 (Swarm 
V1) 在 2014 年 12 月 初 发 布 。 为 了 提高 可 扩展 性 ，2016 年 2 月 对 架构 进行 
重新 设计 ， 推 出 了 V2 版 本 ， 文 持 超过 1 千 个 市 点 。 最 新 的 Docker Engine 
已 经 集成 了 Swarm Kit， 加 强 了 对 Swarm 的 协作 支持 。 


作为 容 絮 集群 管理 絮 ，Swarm 最 大 的 优势 之 一 束 是 100% 文 持 标 准 
的 Docker API。 各 种 基于 标准 API 的 工具 ， 如 Compose、docker-py， 各 
种 管理 软件 ， 甚 至 Docker 本 喘 等 都 可 以 很 容易 地 与 Swarm 进行 集成 。 这 
大 大 方便 了 用 户 将 原 允 基于 单 世 点 的 系统 移植 到 Swarm 上。 同时 Swarm 
内 置 了 对 Docker 网 络 插件 的 文 持 ， 用 户 可 以 很 容易 地 部 署 跨 主 机 的 容 
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Swarm V1 的 结构 图 如 图 25-1 所 示 。 可 以 看 出 ，Swarm 是 典型 的 
master-slave 结 构 ， 通 过 发 现 服务 来 选举 manager。manager 是 中 心 管理 


节点 ， 各 个 node 上 运行 agent 接 受 manager 的 统一 管理 。 


container JE container, (container (container 
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图 25-1 Swarm 基本 结构 图 


在 V2 中 ， 集 群 会 目 动 通过 Raft 协 议 分 布 式 选 举 出 managerT s, 76 
需 额外 的 发 现 服务 支持 ， 避 免 了 单 点 瓶颈 。 同 时 ，V2 中 内 置 了 基于 
DNS 的 负载 均衡 和 对 外 部 负载 均衡 机 制 的 集成 支持 。 


目前 ，Swarm V1 支持 的 Docker 版 本 为 1.6.0+，V2 支 持 的 Docker 版 
本 为 1.12.0+。 本 章 将 以 Swarm V1 为 主 进行 介绍 ， 并 结合 V2 的 部 分 最 新 


等 性 进行 讲解 。 


25.2 ” 安 儿 Swarm 


安装 Swarm 有 几 种 方式 ， 可 以 基于 Docker Machine 进 行 安装 ， 也 可 
以 手动 配置 。 为 了 能 更 容易 理解 Swarm 的 组 件 和 更 灵活 地 进行 管理 ， 
推荐 使 用 手动 配置 方式 。 


对 于 Docker 1.12+ 有 版 本 ，Swarm 相 关 命 令 已 经 原生 舱 入 到 了 Docker 
Engine 中 ， 对 于 较 低 版 本 的 Docker， 需 要 额外 进行 配置 。 


1. 下 载 镜像 


Docker 官 方 已 经 提供 了 Swarm 镜像 ， 需 要 在 所 有 被 Swarm 管理 的 
Docker 主 机 上 下 载 该 镜像 : 


$ docker pull swarm 


可 以 使 用 下 面 的 命令 来 查看 Swarm 版 本 ， 验 证 是 否 成 功 下 载 


Swarm 镜像 : 


$ docker run --rm Swarm -v 
swarm version 1.2.2 (34e3da3) 
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Docker 主 机 在 加 入 Swarm 集群 前 ， 需 要 进行 一 些 简 单 配置 ， 添 加 
Docker daemon 的 网 络 监 听 。 例 如 ， 在 局 动 Docker daemon 的 时 候 通 过 - 
HSJN: 


$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 
[9 y I 
O: 意 


Docker 1.8.0 前 的 版 本 不 支持 daemon 命 令 ， 可 以 用 -d 代 替 。 


如 采 是 通过 服务 方式 启动， 则 需要 修改 服务 的 配置 文件 。 


以 Ubuntu 14.04 为 例 ， 配 置 文 件 为 /etc/default/docker (其 他 版 本 的 
Linux 上 略 有 不 同 ) 。 在 文件 的 最 后 添加 : 


DOCKER_OPTS="$DOCKER_OPTS -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 


3. 启 动 集群 


Docker 集 群 管理 需要 使 用 服务 发 现 (Service Discover) 功能 ， 
Swarm 支 持 以 下 几 种 方式 Docker Hub、 本 地 文件 、Etcd、Consul、 


Zookeeper 和 和 手动 指定 节点 IP 地 址 信息 等 。 


除了 手动 指定 外 ， 这 些 方 法 原理 上 都 是 通过 维护 一 套数 据 库 机 制 
来 管理 集群 中 注册 节点 的 Docker Daemon 的 访问 信息 。 


本 地 配置 集群 推荐 使 用 Consul 作 为 服务 发 现 后 端 。 利 用 社区 提供 
的 Docker 镜 像 ， 整 个 过 程 只 需要 三 步 即 可 完成 。 


(1) 启动 Consul 服 务 后 端 
局 动 Consul 服 务 容 器 ， 映 射 到 主机 的 8500 端 口 : 


$ docker run -d -p 8500:8500 --name-consul progrium/consul -server -bootstrap 


获取 到 本 地 主机 的 地 址 作为 consul 的 服务 地 址 : 


«consul ip>:8500。 
(2) 启动 管理 节操 


自 先 局 动 一 个 主管 理 节 点 ， 映 射 到 主机 的 4000 端 口 ， 并 获取 所 在 
主机 地 址 为 <manager0_ip>。 其 中 4000 端 口 是 Swarm 管 理 器 的 默认 监听 
端口 ， 用 户 也 可 以 指定 映 射 为 其 他 端口 : 


$ docker run -d -p 4000:4000 Swarm manage -H :4000 --replication --advertise 
«managerO ip»:4000 consul://«consul ip»:8500 


为 了 提高 可 用 性 ， 也 可 以 启动 从 管理 万 点 。 假 定 获取 所 在 主机 地 
址 为 <managerl ip>: 


$ docker run -d swarm manage -H :4000 --replication --advertise «manageri ip»: 
4000 consul://«consul ip»:8500 


(3) JARLAR TI 


需要 在 每 个 工作 节点 上 启动 agent 服 务 。 获 取 节 点 的 主机 地 址 为 
<node_ip>， 并 指定 前 面 获取 到 的 consul 服 务 地 址 : 


$ docker run -d swarm join --advertise=<node_ip>:2375 consul://«consul ip»:8500 


六 点 启动 后 ， 用 户 可 以 指定 Docker 服 务 地 址 为 <manager0_ip>: 
4000> 来 测试 各 种 Docker 命 令 ， 可 以 看 到 整个 Swarm 集 群 束 像 一 个 虚拟 
的 Docker 主 机 一 样 正常 工作 。 


容 絮 ， 当 Swarm 集 群 服务 出 现 故 障 时 ， 无 法 接受 新 的 请 求 ， 但 已 经 运 


行 起 来 的 容 右 将 不 会 受到 影响 。 


25.3 ”使 用 Swarm 


前 面 演 示 了 基于 Consul 服 务 发 现 后 端 来 配置 一 个 本 地 Swarm 集群 。 其 
中 ，Consul 也 可 以 被 蔡 换 为 Etcd、ZooKeeper 等 。 


另外 一 个 更 方便 的 方式 是 直接 使 用 Docker Hub 提 供 的 免费 服务 发 现 后 
疝 。 下 面 使 用 这 种 方式 来 演示 Swarm 的 主要 操作 ， 包 括 : 


create: 创建 一 个 集群 ; 
list: 列 出 集群 中 的 斑点 ; 
manage: 管理 一 个 集群 ; 
join: 让 太后 加 入 到 某 个 集群 。 


注意 ， 使 用 Docker Hub 的 服务 发 现 后 端 ， 需 要 各 个 节点 能 通过 公 网 访 
问 到 Docker Hub 的 服务 接口 。 
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1. 创 建 集 群 id 


在 任意 一 台 安 装 了 Swarm 的 机 器 上 执行 Swarm create 命 令 来 在 Docker 
Hub 服 务 上 进行 注册 。Swarm 会 通过 服务 发 现 后 端 (此 处 为 Docker Hub 提 
fk) 来 获取 一 个 唯一 的 由 数字 和 字母 组 成 的 token， 用 来 标识 要 管理 的 集 
BE: 


$ docker run --rm Swarm create 
946d65606f7c2f49766e4dddac5b4365 
集群 的 唯一 id， 加 入 集群 的 各 个 市 点 将 需要 


2. 配 置 集 群 节 点 

在 所 有 要 加 入 集群 的 普通 节点 上 执行 swarm join 命 令 ， 表 示 把 这 台 机 
侣 加 入 指定 集群 当中 。 例 如 ， 某 台 机 妖 的 IP 地 址 为 192.168.0.2， 将 其 加 入 
我 们 刚 创建 的 946d65606-f7c2f49766e4dddac5b4365 和 集群 ， 则 可 以 使 用 如 下 


从 人 
HH “x: 
addr=192.168.0.2:2375 token://946d65606f7c2f49766 


$ docker run --rm swarm join 
e4dddac5b4365 
time="2015-12-09T08:59:43Z" level-info msg="Registering on the discovery 
service every 20s addrz"192.168.0.2:2375" discovery-z"token:// 
946d65606f7c2f49766eA4Adddac5b4365 
--addr 指 定 的 IP 地 址 信息 将 被 发 送 给 服务 发 现 后 端 ， 用 以 区 分 
这 个 地 址 可 以 访问 到 该 节点 。 


其 中 ， 
集群 不 同 的 节点。 
控制 全 可 以 看 到 ， 上 述 命令 执行 后 ， 
E) 会 输出 一 条 心跳 信息 。 对 于 发 现 服 务 后 

XE) 没有 收 到 心跳 信息 ， 


manager 服 务必 须要 通过 
默认 每 隔 20 秒 (可 以 

端 来 说 ， 默 认 
则 将 节点 从 


S 


选项 指 


heartbeat] 
如 果 超 过 60 秒 (可 以 通过 --ttl 选 项 指 
选项 ， 让 服 


列表 中 删除 。 
如 琳 不 布 望 看 到 输出 日 志 信 息 ， 则 可 以 用 -d 迁 项 菠 换 --rm 


务 后 台 执 行 。 


自 


U^; 


执行 swarm join 命令 实际 上 是 通过 agent 把 自己 的 信息 注册 到 发 现 服 务 
上 ， 因 此 ， 此 时 对 于 后 端的 发 现 服务 来 说 ， 已 经 可 以 看 到 有 才干 节点 注册 
上 来 了 。 那 么 ， 如 何 管理 和 使 用 这 些 世 点 呢 ? 这 就 得 需要 Swarm 的 
manager 服 务 了 ° 


3. 配 置 管理 节点 


配置 管理 节点 需要 使 用 swarm manage 命 令 ， 该 命令 将 启动 manager 服 
务 ， 默 认 监听 到 2375 端 口 ， 所 有 对 集群 鸭 管理 都 可 以 通过 该 服务 接口 进 
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读者 可 能 注意 到 ，manager 服 务 默 认 监 听 的 端口 跟 Docker 服 务 监 听 端 
口 是 一 样 的 ， 这 是 为 了 兼容 其 他 基于 Docker 的 服务 ， 可 以 无 颖 地 切换 到 
Swarm 平台 上 来 。 


仍然 在 节点 192.168.0.2 进 行 操 作 。 由 于 我 们 是 采用 Docker 容 器 形式 局 
动 manager 服 务 ， 本 地 的 2375 端 口 已 经 被 Docker Daemon 占 用 ， 我 们 将 
manager 服 务 监 听 端 口 映 射 到 本 地 一 个 空 采 的 12375 端 口 : 


$ docker run -d -p 12375:2375 swarm manage token://946d65606f7c2f49766e4dddac5b4365 
1e1ca8c4117b6b7271efc693f9685b4e907d8dc95324350392b21e94b3cffd18 


可 以 通过 docker ps 命令 来 查看 局 动 的 Swarm managerfHlit 25 7-88: 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
1ei1ca8c4117b swarm "/swarm manage token:" 11 seconds ago Up 10 seconds 


0.0.0.0:12375-22375/tcp jovial rosalind 


命令 如 果 执 行 成 功 会 返回 刚 局 动 的 Swarm 容 右 的 ID。 此 时 一 个 简单 的 
Swarm 集 群 整 已 经 搭建 起 来 了 ， 包 括 一 个 普通 市 点 和 一 个 管理 条 点 。 


4. 查 看 集群 万 点 列表 


集群 局 动 成 功 以 后 ， 用 户 可 以 在 任何 一 全 节点 上 使 用 swarm list 命 令 查 
看 集群 中 的 市 点 列表 。 例 如 : 


$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.2:2375 


显示 正 是 之 前 用 swarm join 命令 加 入 集群 的 和 点 的 地 址 。 


我 们 在 另外 一 个 节点 192.168.0.3 上 同样 使 用 swarm join 命令 新 加 入 一 
个 节点 : 


INe 


$docker run --rm swarm join --addr=192.168.0.3:2375 token://946d65606f7c2f49766 


e4dddac5b4365 
time="2015-12-10T02:05:34Z" level=info msg="Registering on the discovery 
service every 20s..." addr="192.168.0.3:2375" discovery="token: 


//946d65606f7c2f49766e4dddac5b4365" 


再 次 使 用 swarm list 命 令 查看 集群 中 的 节点 列表 信息 ， 可 以 看 到 新 加 入 
的 下 点: 


$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.3:2375 
192.168.0.2:2375 


5. 使 用 集群 服务 


那么 ， 怎 么 使 用 Swarm 提供 的 服务 呢 ? 实际 上 ， 所 有 Docker 客 户 端 可 
以 继续 使 用 ， 只 要 指定 使 用 Swarm manager 服 务 的 监听 地 址 即 可 。 


例如 ，manager 服 务 监 听 的 地 址 为 192.168.0.2: 12375， 则 可 以 通过 指 
定 -H 192.168.0.2: 12375 选 项 来 继续 使 用 Docker 客 户 端 ， 执 行 任 意 Docker 
4M 


H 
命令 ， 例 如 ps、info、run 等 。 
在 任意 节点 上 使 用 docker run 来 启动 若干 容器 ， 例 如 : 


$docker -H 192.168.0.2:12375:12375 run -d ubuntu ping 127.0.0.1 
A4c9bccbf86fb6e2243da58c1b15e9378fac362783a663426bbe7058eea84de46 


使 用 ps 命令 查看 集群 中 正在 运行 的 容 右 : 


$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

4c9bccbf86fb buntu "ping 127.0.0.1" About a minute ago Up About a minute 
clever wright 


730061a3801a registry:latest "docker-registry" 2 minutes ago 
Up 2 minutes 192.168.0.2:5000-25000/tcp Host-1/registry registry 1 

72d99f24a06f redis:3.0 "/entrypoint.sh redis" 2 minutes ago 
Up 2 minutes 6379/tcp Host-1/registry redis 1, 


Host-1/registry registry 1/redis,Host-1/registry registry 1/redis 1,Host-1 
/registry registry 1/registry redis 1 


输出 结果 中 显示 目前 集群 中 正在 运行 的 容器 (注意 不 包括 Swarm 
manager 服 务 容 器 ) ， 可 以 在 不 同 节 点 上 使 用 docker ps 查看 本 地 容器 ， 会 
发 现 这 些 容 器 实际 上 可 能 运行 在 集群 中 的 多 个 节点 上 〈 由 Swarm 调度 策略 
进行 分 配 ) 。 使 用 info 查 看 所 有 节点 的 信息 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 18 

Images: 36 

Role: primary 


Strategy: Spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-1: 192.168.0.2:2375 
L Containers: 15 
L Reserved CPUs: 0 / 4 
L Reserved Memory: 1 GiB / 4.053 GiB 
L Labels: executiondriver-native-0.2, kernelversion-3.16.0-43-generic, 
operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 
Host-2: 192.168.0.3:2375 
L Containers: 3 
L Reserved CPUs: 0 / 8 
L Reserved Memory: © B / 16.46 GiB 
L Labels: executiondriver-native-0.2, kernelversion-3.16.0-30-generic, 
operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 
CPUs: 12 
Total Memory: 20.51 GiB 
Name: 1e1ca8c4117b 


结果 输出 显示 这 个 集群 目前 只 有 两 个 节点 ， 地 址 分 别 是 192.168.0.2 和 
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类 似 地 ， 也 可 以 通过 Compose 模 板 来 启动 多 个 服务 。 不 过 请 注意 ， 要 
想 让 服务 分 布 到 多 个 Swarm 节点 上 ， 需 要 采用 版 本 2 的 写法 。 


6. 使 用 网 络 


为 了 支持 跨 主 机 的 网 络 ，Swarm 默 认 采 用 了 overlay 网 络 类 型 ， 实 现 上 
通过 vxlan 来 构建 联通 整个 Swarm 集群 的 网 络 。 


首先 在 集群 中 的 所 有 节点 上 添加 配置 Docker daemon I: 


--cluster-store-«DISCOVERY HOST:PORT» --cluster-advertise-«DOCKER DAEMON HOST:PORT» 


以 consul 服 务 为 例 ， 可 能 类 似 : 


--Cluster-store=consul://<consul 服 务 地 址 >:8500 --cluster-advertise-192.168.0.3:2375 


之 后 重启 Docker 服 务 。 首 先 创建 一 个 网 络 : 


$ docker -H 192.168.0.2:12375 network create Swarm_network 


查看 网 络 ， 将 看 到 一 个 overlay 类 型 的 网 络 : 


$ docker -H 192.168.0.2:12375 network ls 
NETWORK ID NAME DRIVER 
6edf2d16ec97 swarm network overlay 


此 时 ， 所 有 添加 到 这 个 网 络 上 的 容器 将 目 动 被 分 配 到 集群 中 的 节点 
上 ， 并 且 彼此 联通 。 


25.4 使 用 其 他 服务 发 现 后 端 


Swarm 目前 可 以 文 持 多 种 服务 发 现 后 端 ， 这 些 后 端 在 功能 上 都 是 
一 致 的 ， 即 维护 属于 某 个 集群 的 节点 信息 。 不 同 的 方案 并 无 优 劣 之 
分 ， 在 实际 使 用 时 ， 可 以 结合 目 身 需求 和 环境 限制 进行 选择 ， 甚 至 目 
己 定 制 其 他 方案 。 


使 用 中 可 以 通过 不 同 的 路 径 来 选择 特定 的 服务 发 现 后 端 机 制 : 


-token://<token>: 使 用 Docker Hub 提 供 的 服务 ， 适 用 于 可 以 访问 
公 网 的 情况 ; 


file://path/to/file: 使 用 本 地 文件 ， 需 要 手动 管理 ; 

. consul://<ip>/<path>: 使 用 Consul 服 务 ， 私 有 环境 推荐 ; 
etcd://<ip1>,<ip2>/<path>: 使 用 Etcd 服 务 ， 私 有 环境 推荐 ; 

. Zk://<ip1>,<ip2>/<path>: 使 用 ZooKeeper 服 务 ， 私 有 环境 推荐 ; 


[nodes://]<ip1>,<ip2>: 手动 指定 集群 中 市 点 的 地 址 ， 方 便 进 行 服 
务 测试 。 


1. 使 用 文件 


使 用 本 地 文件 的 方式 十 分 简单 ， 束 是 将 所 有 属于 某 个 集群 的 节点 
的 Docker daemon 信 息 写 入 一 个 文件 中 ， 然 后 让 manager 从 这 个 文件 中 
直接 读 取 相 关 信息 。 


首先 ， 在 Swarm 管理 节点 (192.168.0.2) 上 新 建 一 个 文件 ， 把 要 
加 入 集群 的 机 器 的 Docker daemon 信 息 写 入 文件 : 


$ tee /tmp/cluster info ««-'EOF' 
192.168.0.2:2375 
192.168.0.3:2375 

EOF 


然后 ， 本 地 执行 swarm manage 命 令 ， 并 指定 服务 发 现 机 制 为 本 地 
文件 。 注 意 ， 因 为 是 容器 方式 运行 manager， 需 要 将 本 地 文件 挂 载 到 容 
AFN: 


$ docker run -d -p 12375:2375 -v /tmp/cluster info:/tmp/cluster info swarm 
manage file:///tmp/cluster info 


接 下 来 就 可 以 通过 使 用 Swarm 服务 来 进行 管理 了 ， 例 如 使 用 info 碍 
看 所 有 方 点 的 信息 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 18 
Images: 36 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-1: 192.168.0.2:2375 

L Containers: 15 

L Reserved CPUs: 0 / 4 

L Reserved Memory: 1 GiB / 4.053 GiB 

L Labels: executiondriver-native-0.2, kernelversion-3.16.0-43-generic, 


operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 
Host-2: 192.168.0.3:2375 
L Containers: 3 
L Reserved CPUs: 0 / 8 
L Reserved Memory: 0 B / 16.46 GiB 
L Labels: executiondriver-native-0.2, kernelversion-3.16.0-30-generic, 
operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 
CPUs: 12 
Total Memory: 20.51 GiB 
Name: e71eb5fid48b 


2. 其 他 发 现 服务 后 端 


其 他 服务 发 现 后 端的 使 用 方法 也 是 大 同 小 异 ， 不 同 之 处 在 于 使 用 
Swarm 命令 时 指定 的 路 径 格式 不 同 9 


例如 ， 对 于 前 面 介绍 的 Consul 服 务 后 端 来 说 ， 快 速 部 署 一 个 


Consul 服 务 的 命令 为 : 


$ docker run -d -p 8500:8500 --name-consul progrium/consul -server -bootstrap 


之 后 创建 Swarm 的 管理 服务 ， 指 定 使 用 Consul 服 务 ， 管 理 端 口 监 
听 在 本 地 的 4000 端 口 : 


$ docker run -d -p 4000:4000 Swarm manage -H :4000 --replication --advertise 
«manager ip»:4000 consul://«consul ip»:8500 


Swarm T? 点 注册 时 的 命令 格式 类 似 于 : 


$ Swarm join --advertise-«node ip:2375» consul://«consul addr»/«optional path 
prefix» 


对 于 Etcd 服 务 后 端 来 说 ， 克 点 注册 时 的 命令 格式 类 似 于 : 


$ swarm join --addr-«node addr:2375» etcd://«etcd addr1>,<etcd_addr2>/<optional 
path prefix» 


局 动 管理 服务 时 ， 格 式 类 似 于 : 


$ swarm manage -H tcp://«manager ip»:4000 etcd://«etcd addr1»,«etcd addr2»/ 
«optional path prefix» 


3. 地 址 和 端口 的 范围 匹配 


对 于 基于 文件 和 手动 指定 节点 信息 两 种 服务 发 现 后 端 机 制 来 说 ， 
其 中 地 址 和 端口 域 可 以 支持 指定 一 个 范围 ， 以 一 次 性 指定 多 个 地 址 。 
例如 : 


192.168.0.[2:10]:2375 代 表 192.168.0.2:2375~192.168.0.10:2375 一 共 
9 个 地 址 ; 


192.168.0.2:[2:9]375 代 表 192.168.0.2:2375~192.168.0.2:9375 一 共 8 
AME 9 


255 Swarm 中 的 调度 需 


调度 是 集群 十 分 重要 的 功能 ，Swarm 目 前 文 持 三 种 调度 策略 : 
spread、binpack 和 random ° 


在 执行 swarm manage 命 令 局 动 管 理 服务 的 时 候 ， 可 以 通过 -- 
strategy 人 参数 指定 调度 策略 ， 默 认 的 是 spread 。 


简单 来 说 ， 这 三 种 调度 策略 的 优化 目标 如 下 : 


"spread: 如 采 世 点 配置 相同 ， 选 择 一 个 正在 运行 的 容 需 数量 最 少 
的 那个 节点 ， 即 尽量 平 摊 容 大 到 各 个 斑点; 


'binpack: 跟 spread 相 反 ， 尽 可 能 地 把 所 有 的 容器 放 在 一 台 蔬 点 上 
运行 ， 即 尽量 少 用 节点 ， 避 免 容 器 碎片 化 。 


random: 直接 随机 分 配 ， 不 考虑 集群 中 市 点 的 状态 ， 方 便 进 行 测 
试 使 用 。 


下 面 介绍 前 两 种 策略 。 
1.spread 调 度 策略 


仍然 以 之 前 创建 好 的 集群 为 例 ， 来 演示 spread 策 略 的 行为 。 


1£192.168.0.2 5 JB IE XRHRÁS, rH 


token: //946d65606f7c2f49766e4dddac5b4365H*] Æ$ » 


$ docker run -d -p 12375:2375 Swarm manage --strategy "spread" token://946d6560 
6f7c2f49766e4dddac5b4365 
c6f25e6e6abbe45c8bcf75ac674f2b64d5f31a5c6070d64ba954a0309b197930 


列 出 集群 中 的 节点 : 


$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.3:2375 
192.168.0.2:2375 


此 时 ， 两 个 市 点 上 除了 Swarm 外 都 没有 运行 其 他 容 磊 。 局 动 一 个 


ubuntu 容 器 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
bac3dfda5306181140fc959969d738549d607bc598390f57bdd432d86f16f069 


查看 发 现 它 实际 上 被 调度 到 了 192.168.0.3 节 点 〈 当 节点 配置 相同 
上 时， 初始 节点 随机 选择 ) 。 


再 次 启动 一 个 ubuntu 容 器 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
8247067ba3a31e0cb692a8373405f95920a10389ce3c2a07091408281695281c 


查看 它 的 位 置 ， 发 现 被 调度 到 了 另外 一 个 节点 : 192.168.0.2 上 : 


$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

8247067ba3a3 ubuntu:14.04 "ping 127.0.0.1" 1 minutes ago Up 1 minutes 
Host-2/sick galileo 

bac3dfda5306 Ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host-3/compassionate ritchie 


当 市 点 配置 不 同 的 时 候 ，spread 会 更 愿意 分 配 到 配置 较 高 的 节点 
JE 


2.binpack 调 度 策略 


现在 来 看 看 binpack 人 策略 下 的 情况 。 直 接 启 动 奋 干 ubuntu 容 妖 ， 并 
它 


查看 它们 的 位 置 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 

$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

4c4f45eba866 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host-3/hopeful brown 

5e650541233c ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host-3/pensive wright 

99c5a092530a ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host-3/naughty engelbart 

4ab392c26eb2 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host-3/thirsty mclean 


可 以 看 到 ， 所 有 的 容器 都 是 分 布 在 同一 个 节点 (192.168.0.3) 上 


运行 的 。 


25.6 ”Swarm 中 的 过 滤器 


Swarm 的 调度 禹 可 以 按照 指定 调度 策略 目 动 分 配 容 需 到 节点 ， 但 
有 些 时 候 希 望 能 对 这 些 分 配 加 以 干预 。 比如， 让 LO 敏感 的 容器 分 配 到 
安装 了 SSD 的 节点 上 ; 让 计算 敏感 的 容器 分 配 到 CPU 核 数 多 的 机 器 
E; 让 网 络 敏感 的 容器 分 配 到 高 带宽 的 机 房 ， 让 有 某 些 容器 尽量 放 同 一 
^nm p, FF o 


这 可 以 通过 过 滤器 (filter) 来 实现 ， 目 前 支持 五 种 过 滤器 : 
Constraint、Affinity、Port、Dependency、Health。 下 面 介 绍 前 两 种 过 滤 


HET 
[o] 


HE 


1.Constraint 过 滤 


Constraint 过 滤器 是 绑 定 到 节点 的 键 值 对 ， 相 当 于 给 节点 添加 标 
签 。 可 在 启动 Docker 服 务 的 时 候 指定 ， 例 如 指定 某 个 节点 颜色 为 red: 


$ sudo docker daemon --label color=red -H tcp://0.0.0.0:2375 -H unix:///var/run/ 
docker.sock 


同样 ， 可 以 写 在 Docker 服 务 的 配置 文件 里 面 (以 Ubuntu 14.0473 
例 ， 是 /etc/default/docker) : 


DOCKER_OPTS="--label color=red -H 0.0.0.0:2375 -H unix:///var/run/docker.sock" 


使 用 Swarm 启 动容 器 的 时 候 ， 采 用 -e constarint: key=value 的 形 
式 ， 可 以 过 滤 选 择 出 匹配 条 件 的 节点 。 


例如 ， 我 们 将 192.168.0.2 节 点 打上 红色 标签 ，192.168.0.3 节 点 打上 
绿色 标签 。 然 后 ， 分 别 启 动 两 个 容器 ， 指 定 使 用 过 滤器 分 别 为 红色 和 
绿色 : 


$ docker -H 192.168.0.2:12375 run -d -e constraint:color--red ubuntu:14.04 ping 
127.0.0.1 


252ffb48e64e9858c72241f5eedf6a3e4571b1ad926faf091db3e26672370f64 


$ docker -H 192.168.0.2:12375 run -d -e constraint:color--green ubuntu:14.04 ping 
127.0.0.1 


3def8d7af8583416b17061d038545240c9e5c3be7067935d3ef2fbddce4b8136 


指定 标签 中 间 是 两 个 等 号 。 
查看 它们 将 被 分 配 到 指定 节点 上 : 


$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 1 minutes ago Up 1 minutes 
Host-2/sick galileo 


3def8d7af858 ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host-3/compassionate ritchie 


Ik, Docker[A E f —2E5$ Wiss. Anode ` 
storagedriver ` executiondriver ` kernelversion ` operatingsystem S ° jX 4E 


值 可 以 通过 docker info 命 令 查看 。 


例如 ， 目 前 集群 中 各 个 节点 的 信息 为 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 5 
Images: 39 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-2: 192.168.0.2:2375 

L Containers: 4 

L Reserved CPUs: 0 / 4 

L Reserved Memory: 1 GiB / 4.053 GiB 

L Labels: color=red, executiondriverznative-0.2, kernelversion-3.16.0-43- 
generic, 

operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 
Host-3: 192.168.0.3:2375 

L Containers: 1 

L Reserved CPUs: 0 / 8 

L Reserved Memory: © B / 16.46 GiB 

L Labels: color-2green, executiondriver-znative-0.2, kernelversion-3.16.0-30- 
generic, 

operatingsystem-Ubuntu 14.04.3 LTS, storagedriver-aufs 

CPUs: 12 
Total Memory: 20.51 GiB 
Name: 946d65606f7c 


2. Affinity lE gs 


Affinity: iles £o1F Hd P EJ — P ESSRUET S, VETE ABSIT 
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例如 ， 下 面 我 们 将 启动 一 个 nginx 容 絮 ， 让 它 分 配 到 已 经 运行 某 个 


ubuntu 容 器 的 节点 上 。 


在 Constraint 过 滤器 的 示例 中 ， 我 们 分 别 启动 了 两 个 ubuntu 容 器 
sick_galileo 和 compassionate_ritchie， 分 别 在 Host-2 和 Host-3 上 。 


现在 启动 一 个 nginx 容 器 ， 让 它 与 容器 sick_galileo 放 在 一 起 ， 都 放 
到 Host-2 攻 点 上 。 可 以 通过 -e affinity: container==<name or id> 参 数 来 
实现 : 


$ docker -H 192.168.0.2:12375 run -d -e affinity:container--sick galileo nginx 


然后 启动 一 个 redis 容 器 ， 让 它 与 容器 compassionate_ritchie 放 在 一 
起 , 都 放 人 到 Host-3 节 点 上 : 


$ docker -H 192.168.0.2:12375 run -d -e affinity:container--compassionate 
ritchie redis 


查看 所 有 容器 的 运行 情况 ， 如 下 所 示 : 


$ docker -H 192.168.0.2:12375 ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 
0a32f15aa8ee redis "/entrypoint.sh redis" 2 seconds ago 
Up 1 seconds 6379/tcp Host-3/awesome darwin 
d2b9a53e67d5 nginx "nginx -g 'daemon off" 29 seconds ago 
Up 28 seconds $80/tcp, 443/tcp Host-2/fervent wilson 
252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago 
Up 2 minutes Host-2/sick galileo 
3def8d7af858 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago 
Up 3 minutes Host-3/compassionate_ritchie 
N ~ nu 
3. ECCE enn 


其 他 过 滤 絮 的 使 用 方法 也 是 大 同 小 异 ， 例 如 通过 -e affinity: 
image==<name or id> 来 选择 拥有 指定 镜像 的 节点 ， 通 过 -e affinity: 
label]_name==value 来 选择 拥有 指定 标签 的 容器 所 允许 的 节点 


此 外 ， 当 容器 端口 需要 映射 到 答 主 机 指定 闻 口 号 的 时 候 ，Swarm 
也 会 目 动 将 容器 分 配 到 指定 宿主 机 端口 可 用 的 节点 。 


当 不 同 容器 之 间 存 在 数据 卷 或 链接 依赖 的 时 候 ，Swarm 会 将 这 些 


容器 分 配 到 同一 个 和 点 上 。 


25.7 本章 小 结 


本 章 介绍 了 Docker Swarm 的 安装 、 使 用 和 主要 功能 。 通 过 使 用 
Swarm， 用 户 可 以 将 在 干 Docker 主 机 节点 组 成 的 集群 当 作 一 个 大 的 虚 
拟 Docker 主 机 使 用 。 并 且 ， 原 移 基 于 单机 的 Docker 应 用 可 以 无 颖 地 迁 
移 到 Swarm 上 来 。 


实现 这 些 功 能 的 前 提 十 服务 目 动 发 现 能 力 。 在 现代 分 布 式 系统 
中 ， 服 务 的 目 动 发 现 、 注 册 、 更 新 等 能 力 将 成 为 系统 的 基本 保障 和 重 
要 基础 。 在 生产 环境 中 ，Swarm 的 管理 节点 和 发 现 服务 后 端 要 采用 高 
可 用 性 的 保护 ， 可 以 采用 集群 模式 。 


值得 一 提 的 是 ，Swarm V2 功能 已 经 被 无 颖 舱 入 到 了 Docker 
1.12+ 版 本 中 ， 用 户 今后 可 以 直接 使 用 Docker 命 令 来 完成 相关 功能 的 配 
置 ， 这 将 使 得 集群 功能 的 管理 更 加 人 简便。 


第 26 章 Mesos 优秀 的 集群 资源 调度 平台 


Mesos 项 目 是 源 目 UC Berkeley 对 集群 资源 进行 抽象 和 管理 的 开源 
项 目 ， 类 似 于 操作 系统 内 核 ， 用 户 可 以 使 用 它 很 容易 地 实现 分 布 式 应 
用 的 目 动 化 调度 。 同 时 ，Mesos 目 吴 也 很 好 地 结合 了 Docker 等 相关 容 
名 技术 ， 基 于 Mesos 已 有 的 大 量 应 用 框架 ， 可 以 实现 用 户 应 用 的 快速 
上 线 。 


本 章 将 介绍 Mesos 项 目的 安 痛 、 使 用 、 配 置 以 及 核心 的 原理 知 
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26.1 简介 


Mesos 最 初 由 UC Berkeley 的 AMP 实 验 室 于 2009 年 发 起 ， 遵 循 
Apache 协 议 ， 目 前 已 经 成 立 了 Mesosphere 公 司 进 行 运 营 。Mesos 可 以 将 
整个 数据 中 心 的 资源 “包括 CPU、 内 存 、 存 储 、 网 络 等 ) 进行 抽象 和 
调度 ， 使 得 多 个 应 用 同时 运行 在 集群 中 分 享 资源 ， 并 无 需 关心 资源 的 
物理 分 布 情况 。 


如 果 把 数据 中 心中 的 集群 资源 看 做 一 台 服 务 器 ， 那 么 Mesos 要 做 
的 事情 ， 其 实 谍 古今 天 操作 系统 内 核 的 职责: “抽象 痪 源 + 调 度 任务 ”。 


Mesos 项 目 主要 由 C++ 语言 编写 ， 项 目 官方 地 址 为 
http://mesos.apache.org， 代 码 仍 在 快速 演化 中 ， 已 经 发 布 了 正式 版 1.0.0 
版 本 。 


Mesos 拥 有 许多 引信 注 目的 特性 ， 包 括 : 


:支持 数 万 个 方 点 的 大 规模 场景 (Apple、Twitter、eBay 等 公司 的 
实践 ) 


支持 多 种 应 用 框架 ， 包 括 Marathon、Singularity、Aurora 等 。 


.支持 HA (基于 ZooKeeper 实 现 ) 


. 文 持 Docker、LXC 等 容器 机 制 进行 任务 隔 


ciui 
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:提供 了 多 个 流行 语言 的 API， 包 括 Python、Java、C++ 等 。 


- 目 带 了 简洁 易 用 的 WebUI， 方 便 用 户 直接 进行 操作 。 


值得 注意 的 是 ，Mesos 自 身 只 是 一 个 资源 抽象 的 平台 ， 要 使 用 它 
往往 需要 结合 运行 其 上 的 分 布 式 应 用 (在 Mesos 中 被 称 作 框 架 ， 
framework) ， 比 如 Hadoop、Spark、Marathon、Elasticsecrrch 等 大 部 分 
时 候 ， 用 户 只 需要 跟 这 些 框架 打交道 即 可 ， 完 全 无 需 关 心底 下 的 资源 
调度 情况 ， 因 为 Mesos 已 经 自动 帮 你 实现 了 。 这 大 大 方便 了 上 层 应 用 
的 开发 和 运 维 。 


当然 ， 用 户 也 可 以 基于 Mesos 打 造 目 己 的 分 布 式 应 用 框架 。 


26.2 Mesos 安装 与 使 用 


以 Mesos 结 合 Marathon 应 用 框架 为 例 ， 看 一 下 如 何 快速 搭建 一 套 Mesos 平 
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Marathon 是 可 以 跟 Mesos 一 起 协作 的 一 个 framework， 基 于 Scala 实 现 ， 可 
以 实现 保持 应 用 的 持续 运行 。 


另外 ，Mesos 默 认 利 用 ZooKeeper 来 进行 多 个 主 节 点 之 间 的 选举 ， 以 及 从 
方 点 发 现 主 节点 的 过 程 。 一 般 在 生产 环境 中 ， 需 要 启动 多 个 Mesos master 服 
Z (推荐 3 或 5 个 ) ， 并 且 推 荐 使 用 supervisord 等 进程 管理 器 来 自动 保持 服务 


的 运行 。 


ZooKeeper 是 一 个 分 布 式 集群 中 信息 同步 的 工具 ， 通 过 目 动 在 多 个 节点 


中 选举 leader， 保 障 多 个 节点 之 间 的 某 些 信 息 保持 一 致 性 。 
1. 安 装 


安装 时 主要 需要 mesos、zookeeper 和 marathon 三 个 软件 包 。 


Mesos 也 采用 了 经 典 的 “ 主 - 从 结构， 一般 包括 若干 主 节 点 和 大 量 从 和 
点 。 其 中 ，mesos master 服 务 和 zookeeper 需 要 部 署 到 所 有 的 主 节 点 ，mesos 


slave 服 务 需要 部 署 到 所 有 从 节点 。marathon 可 以 部 署 到 主 节 点 。 


安装 可 以 通过 源码 编译 、 软 件 源 或 者 Docker 镜 像 方式 进行 ， 下 面 分 别 进 
JJ 


(1) 源码 编译 方式 


源码 编译 方式 可 以 保障 获取 到 最 新 版 本 ， 但 编译 过 程 比 较 费 时 间 o 


首先 ， 从 apache.org 开 源 网 站 下 载 最 新 的 源码 : 


$ git clone https://git-wip-us.apache.org/repos/asf/mesos.git 


其 中 ， 主 要 代码 在 src 目 录 下 ， 应 用 框架 代码 在 frameworks 目 录 下 ， 文 档 
在 docs 目 录 下 ，include 中 包括 了 跟 Mesos 打 交道 使 用 的 一 些 API 定 义 头 文件 。 


安装 依赖 主要 包括 Java 运 行 环境 、Linux 上 的 目 动 编译 环境 等 : 


$ sudo apt-get update 

$ sudo apt-get install -y openjdk-8-jdk autoconf libtool \ 
build-essential python-dev python-boto libcurl4-nss-dev \ 
libsasl2-dev maven libapri-dev libsvn-dev 


后 面 就 是 溃 规 C++ 项 目的 方法 ， 配 置 之 后 利用 Makefile 进 行 编译 和 安 
装 : 


$ cd mesos 

$ ./bootstrap 

$ mkdir build 

$ cd build && ../configure --with-network-isolator 
$ make 

$ make check && sudo make install 


(2) 软件 源 安装 方式 


通过 软件 源 方 式 进行 安装 相对 会 省 时 间 ， 但 往往 不 是 最 新 版 本 。 


这 里 以 Ubuntu 系统 为 例 ， 首 先 添加 软件 源 地 址 : 


$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv E56151BF 
$ DISTRO-$(lsb release -is | tr '[:upper:]' '[:10wer:]') 
$ CODENAME-$(lsb release -cs) 


$ echo "deb http://repos.mesosphere.io/$([DISTRO) $(CODENAME) main" | \ 
sudo tee /etc/apt/sources.list.d/mesosphere.list 


刷新 本 地 软件 仓库 信息 并 安 
包 : 


装 zookeeper、mesos、marathon 三 个 软件 


$ sudo apt-get -y update && sudo apt-get -y install zookeeper mesos marathon 


注意 ，Marathon 最 新 版 本 需要 jdk 1.8+ 的 支持 。 如 果 系 统 中 有 多 个 Java 版 
本 ， 需 要 检查 配置 默认 的 JDK 版 本 符合 要 求 : 


$ sudo update-alternatives --config java 


a 


安装 Mesos 成 功 后 ， 会 在 /usr/sbin/ 下 面 发 现 mesos-master 和 mesos-slave 两 
二 进 制 文件 ， 分 别 对 应 主 节 点 上 需要 运行 的 管理 服务 和 从 节点 上 需 
的 任务 服务 


运 和 


用 户 可 以 手动 运行 二 进 制 文件 局 动 服务 ， 也 可 以 通过 service 命 令 来 方便 
管理 。 


进行 


例如 ， 在 主 世 点 上 重启 mesos 管 理 服务 : 


$ sudo service mesos-master restart 


通过 service 命 令 来 管理 ， 实 际 上 是 通 


本 文件 进行 处 理 。 


过 调用 /usrbin/mesos-init-wrapper 脚 


(3) 基于 Docker 的 方式 


需要 如 下 三 个 镜像 


‘ZooKeeper: https://registry.hub.docker.com/u/garland/zookeeper/ ° 


‘Mesos: https://registry.hub.docker.com/u/garland/mesosphere-docker- 
mesos-master/ ° 
Marathon: https://registry.hub.docker.com/u/garland/mesosphere-docker- 


marathon/ ° 
其 中 mesos-master 镜 像 在 后 面 将 分 别 作 为 master 和 slave 角 色 进 行使 用 。 
首先 ， 拉 取 三 个 镜像 : 


$ docker pull garland/zookeeper 
$ docker pull garland/mesosphere-docker-mesos-master 


$ docker pull garland/mesosphere-docker-marathon 


出 主 节 点 机 器 的 地 址 到 环境 变量 : 


4n 


$ HOST IP-10.0.0.2 


TE EP A EJESIzookeeprZt88 : 


docker run -d \ 
-p 2181:2181 \ 
-p 2888:2888 \ 
-p 3888:3888 \ 
garland/zookeeper 


在 主 节 点 上 启动 mesos-master 服 务 容器 : 


docker run --netz"host" N 

-p 5050:5050 \ 

-e "MESOS_HOSTNAME=${HOST_IP}" \ 

-e "MESOS_IP=${HOST_IP}" \ 

-e "MESOS_ZK=zk://${HOST_IP}:2181/mesos" \ 
-e "MESOS_PORT=5050" \ 

-e "MESOS_LOG_DIR=/var/log/mesos" \ 

-e "MESOS_QUORUM=1" \ 

-e "MESOS_REGISTRY=in_memory" \ 

-e "MESOS WORK DIR-/var/lib/mesos" \ 
-d \ 
garland/mesosphere-docker-mesos-master 


在 主 闻 点 上 启动 Marathon: 


docker run \ 

-d \ 

-p 8080:8080 \ 

garland/mesosphere-docker-marathon --master zk://${HOST_IP}:2181/mesos --zk 
zk://${HOST_IP}:2181/marathon 


在 从 节点 上 启动 mesos slave 容 器 : 


docker run -d \ 

--name mesos_slave_1 \ 
--entrypoint="mesos-slave" \ 

-e "MESOS_MASTER=zk://${HOST_IP}:2181/mesos" \ 
-e "MESOS_LOG_DIR=/var/log/mesos" \ 

-e "MESOS LOGGING LEVEL-INFO" \ 
garland/mesosphere-docker-mesos-master:latest 


接 下 来 ， 可 以 通过 访问 本 地 8080 端 口 来 使 用 Marathon 启 动 任务 了 。 
2. 配 置 说 明 
下 面 以 本 地 通过 软件 源 方式 安装 为 例 ， 解 释 如 何 修改 各 个 配置 文件 。 


(1) ZooKeepr 


ZooKeepr 是 一 个 分 布 式 应 用 的 协调 工具 ， 用 来 管理 多 个 主 节点 的 选举 和 
了 几 余 ， 监 听 在 2181 端 口 ， 推 荐 至 少 布置 三 个 主 世 点 来 由 ZooKeeper 维 护 。 


配置 文件 默认 都 在 /etc/zookeeperconf/ 目 孙 下 。 比较 关键 的 配置 文件 有 两 
个 : myid 和 zoo.cfg。myid 文 件 会 记录 加 入 ZooKeeper 集 群 的 节点 的 序号 
(1~255 之 间 ) 。 


/Var/lib/zookeeper/myid 文 件 其 实 也 是 软 连接 到 了 该 文件 。 


比如 配置 某 节 点 序号 为 1， 则 需要 在 该 节点 上 执行 : 


$ echo 1 | sudo dd of-/etc/zookeeper/conf /myid 


TAY 5 fEZooKeeperS&E tup JE, MEEME I RR THIS B 
TA 


另外 ， 需 要 修改 zoo.cfg 文 件 ， 该 文件 是 主 配置 文件 ， 主 要 需要 添加 上 加 
入 ZooKeepeI 集 群 中 机 器 的 序号 和 对 应 监听 地 址 。 


例如 ， 现 在 ZooKeeper 和 集群 中 有 三 个 节点 ， 地 址 分 别 为 10.0.0.2、 
10.0.0.3、10.0.0.4， 序 号 分 别 配 置 为 2、3、4。 则 配置 如 下 的 三 行 : 


server.2-10.0.0.2:2888:3888 
server.3-10.0.0.3:2888:3888 
server.4-10.0.0.4:2888:3888 


其 中 第 一 个 端口 2888 负 责 从 节点 连接 到 主 世 点 ;第 二 个 端口 3888 则 负责 


主 太 点 进行 选举 时 候 通信 。 


也 可 以 用 主机 名 形式 ， 则 需要 各 个 市 点 /etc/hosts 文 件 中 都 记录 地 址 到 主 
机 名 对 应 的 映射 关系 。 


完成 配置 后 ， 启 动 ZooKeeper 服 务 : 
$ sudo service zookeeper start 


(2) Mesos 


Mesos 的 默认 配置 日 录 有 三 个 : 


Jetc/mesos/: 主 节 点 和 从 节点 都 会 读 取 的 配置 文件 ， 最 关键 的 是 zk 文件 
存放 主 和 点 的 信息 ; 


./etc/mesos-master/: 只 有 主 节 点 会 读 取 的 配置 ， 等 价 于 启动 mesos-master 


命令 时 候 的 默认 选项 ; 


Jetc/mesos-slave/: 只 有 从 节点 会 读 取 的 配置 ， 等 价 于 启动 mesos-master 


命令 时 候 的 默认 选项 。 


最 关键 的 是 需要 在 所 有 和 点 上 修改 /etcmesos/zk， 写 入 主 布点 集群 的 
ZooKeeper 地 址 列表 ， 例 如 : 


Zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos 


HSF, /etc/default/mesos ^ /etc/default/mesos-master ` /etc/default/mesos- 
slave 这 三 个 文件 中 可 以 存放 一 些 环境 变量 定义 ，Mesos 服 务 启动 之 前 ， 会 将 


这 些 环境 变量 导入 作为 启动 参数 。 格 式 为 MESOS_OPTION_NAME ° 


下 面 分 别 说 明 在 主 节 护 和 从 市 点 上 的 配置 。 


主 节 点 配置 一 般 只 需要 关注 /etcmesos-master 目 孙 下 的 文件 。 默 认 情 
况 目录 下 为 空 。 


该 目录 下 文件 命名 和 内 容 需 要 跟 mesos-master 支 持 的 命 选项 三 一 对 
应 。 可 以 通过 mesos-master--help 命 令 查看 支持 的 选项 。 


例如 某 个 文件 key 中 内 容 为 value， 则 在 mesos-master 服 务 启 动 的 时 候 ， 会 
自动 添加 参数 --key=value 给 二 进 制 命令 。 


例如 ，mesos-master 服 务 默认 监听 在 loopback 端 口 ， 即 127.0.0.1: 5050, 
我 们 需要 修改 主 节点 监听 的 地 址 ， 则 可 以 创建 /etc/mesos-master/ip 文 件 ， 在 其 
中 写 入 主 和 点 监听 的 外 部 地 址 。 


为 了 正常 局 动 mesos-master 服 务 ， 还 需要 指定 work_dir 参 数 (表示 应 用 框 
架 的 工作 目录 ) 的 值 ， 可 以 通过 创建 /etc/mesos-master/work_dir 文 件 ， 在 其 中 
写 入 目录 ， 例 如 /var/lib/mesos。 工 作 目 录 下 会 生成 一 个 replicated_log 目 录 ， 
会 存 有 各 种 同步 状态 的 持久 化 信息 。 以 及 指定 quorum 参 数 的 值 ， 该 参数 用 来 
表示 ZooKeeper 集 群 中 要 求 最 少 参加 表决 的 节点 数目 。 一 般 设置 为 比 
ZooKeeper 集 群 中 市 点 个 数 的 半数 多 一 些 〈 比 如 三 个 万 点 的 话 ， 可 以 配置 为 
2) 


此 外 ， 要 修改 Mesos 集 群 的 名 称 ， 可 以 创建 /etc/mesos-master/cluster 文 
件 ， 在 其 中 写 入 集群 的 别名 ， 例 如 MesosCluster ° 


总 结 一 下 ， 建 议 在 /etc/mesos-master 目 录 下 ， 配 置 至 少 四 个 参数 文件 : 


ip ^ quorum ^ work dir ^ cluster ? 
修改 配置 之 后 ， 需 要 启动 服务 即 可 生效 : 
$ sudo service mesos-master start 
更 多 选项 可 以 参考 后 面 26.4 节 的 配置 项 解析 内 容 。 


主 贡 点 服务 局 动 后 ， 则 可 以 在 从 万 点 上 局 动 mesos-slave 服 务 来 加 入 主 万 


点 的 管理 。 


从 节点 配置 : 一 般 只 需要 关注 /etc/mesos-slave/ 目 录 下 的 文件 。 默 认 情 况 
录 下 为 空 。 文 件 命名 和 内 容 也 是 跟 主 节 点 类 似 ， 对 应 二 进 制 文件 支持 的 


建议 在 从 和 点 上 ， 创 建 /etwmesos-slave/ip 文 件 ， 在 其 中 写 入 跟 主 节点 通 
信 的 地 址 。 


修改 配置 之 后 ， 也 需要 重新 启动 服务 : 


$ sudo service mesos-slave start 


(3) Marathon 


Marathon 作 为 Mesos 的 一 个 应 用 框架 ， 配 置 要 更 为 简单 ， 必 需 的 配置 项 


有 --master 和 --zk。 


安装 完成 后 ， 会 在 /usr/bin 下 多 一 个 marathon shell 脚 本 ， 为 启动 marathon 
服务 时 候 执行 的 命令 。 


配置 目录 为 /etcmarathon/conf (需要 手动 创建 ) ， 此 外 默认 配置 文件 


TE/etc/default/marathon ° 


我 们 手动 创建 配置 目录 ， 并 添加 配置 项 (文件 命名 和 内 容 跟 Mesos 风 格 
一 致 ) ， 让 Marathon 能 连接 到 已 创建 的 Mesos 集 群 中 : 


$ sudo mkdir -p /etc/marathon/conf 
$ sudo cp /etc/mesos/zk /etc/marathon/conf/master 


同时 ， 让 Marathon 也 将 自身 的 状态 信息 保存 到 ZooKeeper 中 。 创 
建 /etcmarathon/conf/zk 文 件 ， 添 加 ZooKeeper 地 址 和 路 径 : 


zk://10.0.0.2:2181,10.0.0.2:2181, 10.0.0.2:2181/marathon 


启动 marathon 服 务 : 


$ sudo service marathon start 


3. 访 问 Mesos 图 形 界面 


Mesos 目 市 了 Web 图 形 界 面 ， 可 以 方便 用 户 查 看 集群 状态 ° 


用 户 在 Mesos 主 节点 服务 和 从 市 点 服务 都 启动 后 ， 可 以 通过 浏览 器 访问 
主 世 点 5050 端 口 ， 看 到 如 图 26-1 所 示 的 界面 ， 已 经 有 两 个 从 节点 加 入 了 。 


Mesos Frameworks ^ Slaves 


Cluster: MyCluster 
Server: -5050 
Version: 0221 


LOG 
Slaves 
Activated 7 
Deactivated 0 
Tasks 
Staged 0 
Stared 0 
Finished 0 
Killed 0 
Failed 0 
Lost 0 
Resources 

CPUs Mem 
Total 8 9.7 GB 
Used 0 0B 
Offered 0 0B 
Idle 8 97 GB 
通过 Slaves 标 签 


Offers MyCluster 


20150619-192346-1298446857-5050-14153 


Active Tasks 


1D Name State Started 9 Host 


No active tasks 


Completed Tasks 


1D Name State 
No completed tasks. 


Starled Y Stopped Host 


图 26-1 Mesos 界 面 查看 加 入 的 从 节点 


页 能 看 到 加 入 集群 的 从 节点 信息 


如 果 没 有 启动 marathon 服 务 ， 在 Fr ameworks 标 签 页 下 将 看 不 到 任何 内 


m 


4. 访 问 Marathon 图 形 界面 


Marathon 服 务 启动 成 功 后 
看 到 名 称 为 marathon 的 框架 出 现 。 


面 将 和 


同时 ， 
26-2 所 示 。 


可 以 通 


， 在 Mesos 的 Web 界 面 的 Frameworks 标 签 页 下 


器 访问 8080 端 口 ， 看 到 Marathon 的 管理 界面 ， 如 图 


过 浏览 如 


图 26-2 ”Marathon 图 形 管理 界面 


此 时 ， 可 以 通过 界面 或 者 REST API 来 创建 一 个 应 用 ，Marathon 会 保持 该 
应 用 的 持续 运行 。 


通过 界面 方式 可 以 看 到 各 任务 支持 的 参数 (包括 资源 、 命 令 、 环 境 变 
量 、 健 康 检查 等 ) ， 同 时 可 以 很 容易 地 修改 任务 运行 实例 数 进行 扩展 ， 非 常 
适合 进行 测试 ， 参 见 图 26-3。 


EditApplication 


Memory (MiB) Disk Space (MiB) Instances 


EE U CE CONIENEN 


Command 


while [ true] ; do echo Hello Marathon' ; sleep 5 ; done 


> Docker container settings 
» Environment variables 

» Labels 

> Health checks 


> Optional settings 


Change and deploy configuration Cancel 


图 26-3 ”在 Marathon 中 查看 任务 支持 的 参数 


如 果 要 更 自动 化 地 使 用 Marathon， 则 需要 通过 它 的 REST API 进 行 操作 。 


一 般 情况 下 ， 启 动 新 任务 需要 先 创建 一 个 定义 模板 (JSON 格 式 ) ， 然 
后 发 到 指定 的 API。 


例如 ， 示 例 任务 basic-0 的 定义 模板 为 : 


{ 
"id": "basic-0", 
"cmd": "while [ true ] ; do echo 'Hello Marathon' ; sleep 5 ; done", 
cpus": 0.1 
mem": 10.0 


T 
"instances": 1 


该 任务 申请 资源 为 0.1 个 单 核 CPU 资源 和 10MB 的 内 存 资源 ， 有 具体 命令 为 
每 隔 五 秒 钟 用 shell 打 印 一 句 Hello Marathon ° 


可 以 通过 如 下 命令 发 出 basic-0 任 务 到 Marathon 框 架 ， 框 架 会 分 配 任务 到 
某 个 满足 条 件 的 从 节点 上 ， 成 功 会 返回 一 个 json 对 象 ， 描 述 任务 的 详细 信 


©: 


$ curl -X POST http://marathon host:8080/v2/apps -d Qbasic-0.json -H "Content- 
type: application/json" 

{"id":"/basic-0","cmd":"while [ true ] ; do echo 'Hello Marathon' ; sleep 5 ; 
done", "args" :null," "user":null, "env":{},"instances":1,"cpus":0.1,"mem":10, 
"disk":0,"executor":"","constraints":[], 'uris":[], "storeUr1s":[], "ports": 
[0], "requirePorts":false, backoffSeconds":1, "backoffFactor":1.15, "maxLaunch 
DelaySeconds":3600,"container":null,"healthChecks":[], "dependencies":[], 
"upgradeStrategy":("minimumHealthCapacity":1, "maximumOverCapacity":1)], 
"labels":[j,"acceptedResourceRoles":null,"version":"2015-12-28T05:33:05.805Z", 
"tasksStaged":0, 'tasksRunning":0," tasksHealthy":0, "tasksUnhealthy":0, 
"deployments":[("id":"3ec3fbd5-11e4-479f-bd17-813d33e43e0c")], "tasks": []396 


Marathon 的 更 多 REST API 可 以 参考 本 地 自 带 的 文档 : 


http://marathon_host: 8080/api-console/index.html ° 


此 时 ， 如 采 运 行 任务 的 从 节点 出 现 故障 ， 任 务 会 目 动 在 其 他 可 用 的 从 节 
S ESSI 


此 外 ， 目 前 也 已 经 支持 基于 Docker 容 器 的 任务 。 需 要 先 在 Mesos slave i? 


点 上 为 slave 服 务 配 置 --containerizers=docker，mesos 参 数 。 


例如 ， 如 下 面 的 示例 任务 : 


t 
"id": "basic-3", 
"cmd": "python3 -m http.server 8080", 
"cpus": 0.5, 
"mem": 32.0, 


"container": { 
"type": "DOCKER", 
"volumes": [], 


"docker": ( 
"image": "python:3", 
"network": "BRIDGE", 
"portMappings": [ 
t 


"containerPort": 8080, 
"hostPort": 31000, 
"servicePort": 60, 
"protocol": "tcp" 


H 


"privileged": false, 
"parameters": [], 
"forcePullImage": true 


该 任务 启动 一 个 python: 3 容器 ， 执 行 python3-m http.server 8080 命 令 ， 
作为 一 个 简单 的 web 服务， 实际 端口 会 映射 到 宿主 机 的 31000 端 口 。 


注意 区 分 hostPort 和 servicePort， 前 者 代表 任务 映射 到 本 地 可 用 端口 (可 
用 范围 由 Mesos slave 汇 报 ， 默 认为 31000~32000) ; 后 者 作为 服务 管理 的 端 
口 ， 可 以 当做 一 些 服务 发 行 机 制 使 用 ， 进 行 转 发 ， 在 整个 Marathon 集 群 中 是 
唯一 的 。 


任务 执行 后 ， 也 可 以 在 对 应 slave 广 点 上 通过 Docker 命 令 查 看 容器 运行 情 


况 ， 容 器 将 以 mesos-SLAVE_ID 开 头 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 

1226b4ec8d7d python:3 "/bin/sh -c 'python3 " 3 days ago Up 3 days 


0.0.0.0:10000-28080/tcp mesos-O06dbOfba-49dc-4d28-ad87-6c2d5a020866- 
$10.b581149e-2c43-46a2-b652-1a0bc10204b3 


26.3 ”原理 与 架构 


首先， 需要 再 次 强调 ，Mesos 上 自身 只 是 一 个 资源 调度 框架 ， 并 非 一 
整套 完整 的 应 用 管理 平台 ， 所 以 只 有 Mesos 目 己 古 不 能 干 活 的 。 但 十 基 
于 Mesos， 可 以 比较 容易 地 为 各 种 应 用 管理 框架 ， 或 者 为 中 间 件 平台 

(作为 Mesos 的 应 用 ) 提供 分 布 式 运行 能 力 ， 同 时 ， 由 于 多 个 框架 也 可 
以 同时 运行 在 一 个 Mesos 集 群 中 ， 提 高 了 整体 的 资源 使 用 效率 。 


Mesos 对 目 己 的 定位 划分 清楚 ， 使 得 它 要 完成 的 任务 很 明确 ， 其 他 
任务 框架 也 可 以 很 容易 地 与 它 进行 整合 。 


26.3.1 ”架构 


图 26-4 基 本 以 构 几 来 目 Mesos 官 方 。 
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图 26-4 ”Mesos 的 基本 架构 


可 以 看 出 ，Mesos 采 用 了 经 典 的 “ 主 -从 ”(master-slave) 架构 ， 其 中 
主 节点 (管理 节点 ) 可 以 使 用 ZooKeeper 来 做 HA (高 可 靠 性 ) ° Mesos 
master 服 务 将 运行 在 主 节 点 上 ，Mesos slave 服 务 则 需要 运行 在 各 个 计算 
任务 节点 上 。 人 负责 完成 具体 任务 的 应 用 框架 (framwork) 跟 Mesos 
master 进 行 交 互 ， 来 申请 资源 。 


26.3. ”基本 单元 


Mesos 中 有 三 个 基本 的 组 件 : 管理 服务 (master) 、 任 务 服务 
(slave) 以 及 应 用 框架 (framework) 。 


跟 大 部 分 分 布 式 系统 中 类 似 ， 主 节点 (master) 起 到 管理 作用 ， 将 

看 到 全 局 的 信息 ， 负 责 不 同 应 用 框架 之 间 的 资源 调度 和 逻辑 控制 。 应 

用 框 淋 需要 注册 到 管理 服务 上 才能 被 使 用 。 用户 和 应 用 需要 通过 主 季 
扩 提 供 的 API 来 获取 集群 状态 和 操作 集群 资源 。 


slave 人 负责 汇报 本 从 节点 上 的 资源 状态 ( 空 帮 资源 、 运 行 状态 等 
等 ) 给 主 节 点 ， 并 负责 隔离 本 地 资源 来 执行 主 市 点 分 配 的 具体 任务 。 
隅 离 机 制 目 前 包括 各 种 容 融 机 制 ， 包 括 LXC、Docker 等 。 


应 用 框架 (framework) 是 实际 干 活 的 ， 包 括 两 个 主要 组 件 : 


:调度 器 (scheduler) : 注册 到 主 节点 ， 等 待 分 配 资源 ; 


.执行 器 (executor) : 在 从 节点 上 执行 框架 指定 的 任务 (框架 也 可 
以 使 用 Mesos 自 市 的 执行 器 ， 包 括 shell 脚 本 执行 器 和 Docker 执 行 器 ) ° 


应 用 框架 可 以 分 两 种 ， 一 种 是 对 资源 的 需求 ， 是 会 扩展 的 (如 
Hadoop、Spark 等 ) ， 申 请 后 还 可 能 调整 ， 另 一 种 是 对 资源 需求 大 小 是 
固定 的 〈 如 MPI 等 ) ， 一 次 申请 即 可 。 


26.3.3 ”调度 


对 于 一 个 资源 调度 框架 来 说 ， 最 核心 的 束 是 调度 机 制 ， 怎 么 能 快 
速 高 效 地 完成 对 某 个 应 用 框架 资源 的 分 配 ， 是 核心 竞争 力 所 在 。 最 理 
想 情 况 下 〈 大 部 分 时 候 都 无 法 实现 ) ， 最 好 是 能 猜 到 应 用 的 实际 需 
实现 最 大 化 的 资源 使 用 率 。 


CA 
更 


Mesos 为 了 实现 尽量 优化 的 调度 ， 采 取 了 两 层 的 调度 算法 。 


1. 算 法 基本 过 程 


调度 的 基本 思路 很 简单 ，master 完 全 局 调度 一 大 块 资源 给 某 个 
framework，framework 自 己 再 实现 内 部 的 细 粒 大 调度 ， 决 定 哪 个 任务 用 
多 少 资源 。 两 层 调度 简化 了 Mesos master 目 号 的 调度 过 程 ， 通 过 将 复杂 
的 细 粒 度 调 度 交 由 framework 实 现 ， 避 免 了 Mesos master 成 为 性 能 瓶 


i o 


调度 机 制 支持 插件 机 制 来 实现 不 同 的 策略 。 默 认 是 Dominant 


Resource Fairness (DRF) l! ° 


2. 调 度 过 程 


调度 通过 offer 发 送 的 方式 进行 交互 。 一 个 offer 是 一 组 资源 ， 例 如 
«1 CPU, 2 GB Mem>。 基 本 调度 过 程 如 下 : 


1) slave 节 点 会 周期 性 汇报 自己 可 用 的 资源 给 master:; 


2) 某 个 时 候 ，master 收 到 应 用 框架 发 来 的 资源 请 求 ， 根 据 调度 策 
略 ， 计 算出 来 一 个 资源 offer 给 framework:; 


3) framework 收 到 offer 后 可 以 决定 要 不 要 ， 如 果 接 受 的话 ， 返 回 一 
个 描述 ， 说 明 自 己 希 望 如 何 使 用 和 分 配 这 些 资 源 来 运行 某 些 任 务 (可 
以 说 明 只 希望 使 用 部 分 资源 ， 则 多 出 来 的 会 被 master 收 回 ) ; 


4) 最 后 ，master 则 根据 framework 答 复 的 具体 分 配 情 况 发 送 给 
slave， 以 使 用 framework 的 executor 来 按照 分 配 的 资源 策略 执行 任务 。 


具体 给 出 一 个 例子 ， 某 从 市 点 同 主 广 点 汇报 目 己 有 <4 CPU, 8GB 
Mem> 的 空闲 资源 ， 同 时 ， 主 节点 看 到 某 个 应 用 框架 请 求 <3 CPU, 6 
GB Mem>， 就 创建 一 个 offer<slave#1，4 CPU，8 GB Mem> 把 满足 的 资 
源 发 给 应 用 框架 。 应 用 框架 (的 调度 器 ) 收 到 offer 后 觉得 可 以 接受 ， 
就 回复 主 节 点 ， 并 告诉 主 节 点 硕 望 运行 两 个 任务 : 一 个 占用 <1 CPU，2 
GB Mem>， 男 一 个 占用 <2 CPU, 4GB Mem>。 主 节点 收 到 任务 信息 后 
分 配 任务 到 从 节点 上 进行 运行 《实际 上 是 应 用 框架 的 执行 咯 来 负责 执 
IEZ) 。 任 务 运 行 结束 后 可 将 资源 释放 出 来 。 剩 余 的 资源 还 可 以 继 
续 分 配给 其 他 应 用 框架 或 任务 。 


T 


应 用 框架 在 收 到 offer 后 ， 如 果 offer 不 满足 自己 的 偏好 (例如 希望 继 
续 使 用 上 次 的 slave 节 点 ) ， 则 可 以 选择 拒绝 offer， 等 待 master 发 送 新 的 
offer 过 来 。 男 外 ， 可 以 通过 过 滤 胡 机 制 来 加 快 资 源 的 分 配 过 程 。 


3. 过 滤器 


framework 可 以 通过 过 滤 絮 机 制 告诉 master 它 的 资源 偏好 ， 比 如 项 
望 分 配 过 来 的 offer 有 哪个 资源 ， 或 者 至 少 有 多 少 资 源 等 。 


过 滤器 可 以 避免 某 些 应 用 资源 长 期 分 配 不 到 所 需要 的 资源 的 情 
况 ， 加 速 整 个 资源 分 配 的 交互 过 程 


4. 回 收 机 制 
为 了 避免 某 些 任务 长 期 占用 集群 中 货源 ，Mesos 也 文 持 回 收 机 制 。 


主 节 点 可 以 定期 回收 计算 节点 上 的 任务 所 占用 的 资源 ， 可 以 动态 
调整 长 期 任务 和 短期 任务 的 分 布 。 


26.3.4. 高 可 用 性 


从 架构 上 看 ， 最 为 核心 的 节点 是 master 节 点 。 除 了 使 用 ZooKeeper 
来 解决 单 点 失效 问题 之 外 ，Mesos 的 master 节 点 自身 还 提供 了 很 高 的 鲁 
棒 性 。 


Mesos master 他 点 在 重启 后 ， 可 以 动态 通过 slave 和 framework 发 来 
的 消息 重建 内 部 状态 ， 虽 然 可 能 导致 一 定 的 时 延 ， 但 这 避免 了 传统 
制 太 点 对 数据 库 的 依赖 。 


当然 ， 为 了 减少 master 太 扩 的 负载 过 大 ， 在 集群 中 slave 广 点 数目 较 
多 的 时 候 ， 要 避免 把 各 种 通知 的 周期 配置 得 过 短 。 在 实践 中 ， 可 以 通 
过 部 署 多 个 Mesos 集 群 来 保持 单个 集群 的 规模 不 要 过 大 。 


[1] DRF 算 法 细 方 可 以 参考 论文 《Dominant Resource Fairness: Fair 
Allocation of Multiple Resource Types》， 其 核心 思想 是 对 不 同类 型 资源 
进行 多 个 请 求 ， 计 算 请 求 的 主 资源 类 型 ， 然 后 根据 主 资源 进行 公平 分 
配 。 


26.4 ”Mesos 配 置 项 解析 


Mesos 支 持 在 运行 时 通过 命令 行 参 数 形式 提供 的 配置 项 。 如 果 是 通 
过 系统 服务 方式 启动 ， 也 支持 以 配置 文件 或 环境 变量 方式 给 出 。 当 
然 ， 实 际 上 最 终 是 提取 为 命令 行 参数 传递 给 启动 命令 。 


Mesos 的 配置 项 分 为 三 种 类 型 : 通用 项 (master 和 slave 都 支持 ) ^ 
master 专 属 项 ， 以 及 slave 专 属 项 。 


Mesos 配 置 项 比较 多 ， 下 面 对 一 些 重 点 配置 进行 描述 。 人 少数 为 必 备 
项 ， 意 味 着 必须 给 出 配置 值 ， 另 外 一 些 是 可 选 配置 ， 上 自己 带 有 默认 
f& » 


26.4.1 通用 项 


通用 项 数量 不 多 ， 主 要 涉及 服务 绑 定 地 址 和 日 志 信 息 等 ， 参 见 表 


表 26-1 Mesos 配 置 通 用 项 


配置 项 说 — HB 


--&dvertise ip-VALUE 可 以 通过 该 地 址 访问 到 服务 ， 比 如 应 用 框 集 访问 到 master 15 7; 
--advertise port-VALUE 可 以 通过 该 端口 访问 到 上 服务 

external log file=VALUE 指定 存储 日 志 的 外 部 文件 ， 可 通过 Web 界面 查看 
--firewall rules-VALUE endpoin- x No i VALUR BLEUS JSON ARRE JSON 格式 的 
--ip-VALUE 服务 绑 定 到 的 耳 地 址 ， 用 来 监 乒 外面 过 来 的 请 求 

log dir-VALUE TELE, WREE (默认 值 ) 则 不 夺 储 日 志 到 本 地 
--logbufsecs-VALUE buffer 多 少 秒 的 日 志 , 然后 写 人 本 地 
--logging level=VALUE 日 志 记 录 的 最 低级 别 
--port-VA^UR APEE AJHT, master 默认 是 5050, slave 默认 是 5051 


26.4.2 ” master 专属 项 


些 配 置 项 是 针对 主 节点 上 的 Mesos master 服 务 的 ， 围 绕 高 可 用 、 
注册 信息 、 对 应 用 框架 的 资源 管理 等 。 用 户 应 该 根据 本 地 主 节 点 资源 
情况 来 合理 地 配置 这 些 


用 户 可 以 通过 mesos-master--help 命 令 来 获取 所 有 支持 的 配置 项 信 


必须 指定 的 配置 项 有 三 个 ， 其 他 为 可 选 。 参 见 表 26-2 。 


表 26-2 Mesos 配 置 master 专 属 项 


配置 项 
--quorum-VALUE 


--work dir-VALUE 


--Zk-VALUE 


--acls-VALUE 

--allocation interval-VALUE 
--allocator-VALUE 
--[no-]authenticate 
--[no-]authenticate slaves 
--authenticators-VALUE 
--cluster-VALUE 
--credentials-VALUE 
--external log file-VALUE 
--framework sorter-VALUE 
--hooks-VALUE 
--hostname-VALUE 
--[no-]16g auto initialize 
--modules-VALUE 

--offer timeout-VALUE 
--rate limits-VALUE 


--recovery slave removal limit- 
VALUE 


--slave removal rate limit- 
VALUE slave 


--registry-VALUE 


--registry fetch timeout-VALUE 

--registry store timeout-VALUE 

--[no-]registry strict 

--roles-VALUE 

--[no-]root submissions root 

--slave reregister timeout- 
VALUE 


--user sorter-VALUE 
--webui dir-VALUE webui 
--weights-VALUE 
--whitelist-VALUE 


说 明 
必 备 项 ， 使 用 基于 replicated-Loa 的 注册 表 (HAH ZooKeeper 


实现 HA) 时 . 参与 投票 时 的 最 少 节点 个 数 


必 备 项 ， 注 册 表 持久 化 信息 存储 位 置 
必 备 项 ， 如 果 主 节点 为 HA 模式 ， 指 定 ZooKeepr 的 服务 地 址 ， 支 


持 多 个 地 址 ， 之 间 用 过 号 隔离 ， 例 如 zk:/username:password(hostl : 
portl, host2:port2, ../path.. 还 可 以 为 存 有 路 失信 息 的 文件 路 径 


ACL 规则 或 所 在 文件 

执行 allocation 的 间隔 ， 默 认为 lsec 

分 配 机 制 ， 典 认为 HierarchicalDRF 

是 否 允 许 非 认证 过 的 framework 注册 

是 否 允 许 非 认证 过 的 slaves 注册 

对 framework 或 salves 进行 认证 时 的 实现 机 制 
集群 别 和 名， 显示 在 Web 界面 上 供用 户 识别 的 
存储 加 密 后 凭证 的 文件 的 路 径 

采用 外 部 的 日 志文 件 

给 定 framework 之 间 的 资源 分 配 策略 

master 中 安装 的 hook 模块 

master 节点 使 用 的 主机 名 ， 不 配置 则 从 系统 中 获取 
是 否 自 动 初始 化 注册 表 需 要 的 replicated 日 志 

要 加 载 的 模块 ， 支 持 文件 路 径 或 者 JSON 

offer 撤销 的 超时 

framework 的 速率 限制 ， 即 query per second (qps) 
限制 注册 表 恢 复 后 可 以 移 除 或 停止 的 slave 数目 ,超出 后 master 


Ski, MARIAE 10095 


没有 完成 健康 度 检查 时 候 被 移 除 的 速率 上 上限， 例如 L/I0mins 代表 


每 十 分 钟 最 多 有 一 个 


EHE GLISSE (ERE. ATA replicated log 存放 本 地 ， 还 可 


以 为 in_memory 放 在 内 存 中 


访问 注册 表 和 失败 超时 

存储 注册 表 失 败 超时 

是 否 按照 注册 表 中 持久 化 信息 执行 操作 .默认 为 false 

集群 中 framework 可 以 所 属 的 分 配角 色 

是 否 可 以 提交 framework, 默认 为 true 

新 的 lead master 节点 选举 出 来 后 ， 多 久之 内 所 有 的 slave 需要 注 


册 ， 超 时 的 salve 将 被 移 除 并 关闭 ， 册 认为 10mins 


在 用 户 之 问 分配 资源 的 策略 ,默认 为 drf 

实现 的 文件 目录 所 在 ， 默 认为 各 swlocal'share/mesos/webui 
各 个 角色 的 权重 

文件 路 径 ， 包 括 发 送 offer 的 slave 名 单 ， 默 认为 None 


--zk session timeout-VALUE session Hit, ERA 10secs 


配置 了 --with-network-isolator 叶 可 用 ， 限 制 每 个 slave 同时 执行 任 


--max executors per s.ave-VALUE Mn 
H Z 务 个 数 


下 面 给 出 一 个 由 三 个 市 点 组 成 的 master 集 群 典 型 配置 ， 工 作 目 录 指 


定 为 /mp/mesos， 集 群 名 称 为 mesos_cluster: 


mesos cluster 

mesos-master \ 
--zkezk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 
--quorum-2 \ 

--work dir-/tmp/mesos \ 

--clusterzmesos cluster 


26.4.3 ”slave 专属 项 


slave 让 太 文 持 的 配置 项 是 最 多 的 ， 因 为 它 所 完成 的 事情 复杂 。 这 
些 配 置 项 既 包 括 跟 主 广 点 打交道 的 一 些 参数 ， 也 包括 对 本 地 资源 的 配 
置 ， 包 括 隔 离 机 制 、 本 地 任务 的 资源 限制 等 。 


用 户 可 以 通过 mesos-slave--help 命 令 来 获取 所 有 文 持 的 配置 项 信 


必 备 项 束 一 个 : --master=VALUE，master 所 在 地 址 ， 或 对 应 
ZooKeeper 服 务 地 址 ， 或 文件 路 径 ， 可 以 是 列表 。 其 他 为 可 选项 ， 参 见 
表 26-3。 


表 26-3 Mesos 配 置 slave 专 属 项 


配置 项 


说 — B8 


--attributes-VALIUE 
--aathenticatee-VALUE 
--ino-]egroups enable efs 
--cgroups h-erarchy-VALUE 
-- no-lcgrouos limit swap 
--cgroups root-VALUE 
--container disk watch 
interval-VALUE 


--container-zer path-VAL.UE 


--container:zers-VALUE 

--credentia--VALUE 

--default container imnage- 
VALUE 


--default container info- 
VALUE 


--default role-VA.UE 


TL se B E 

ER master 进行 认 让 时 候 的 认 让 机 制 

采用 CFS 进行 带宽 限制 时 候 对 CPU 资源 进行 限制 ， 默 认为 false 
cgroups 的 日 录 根 伍 置 ， 默 认为 jsys/fs/cgroup 

限制 内 存 和 swap. WAX false. FUB 

根 cgroups 的 名 称 ， 默 认为 mesos 


为 容器 进行 硬盘 配额 查询 的 时 间 间 隔 


采用 外 部 隔离 机 制 (—isolationzextemal) 时 候 ， 外 部 容器 机 制 执 行文 件 
路 径 

FURR EMALE, tii mesos, cxternal, docker 

WME EE, E ATA UMS 


KAABEL, EA ERA E HT BH 
容 替 信息 的 默认 值 
资源 默认 分 配 的 角色 


配置 项 
--disk watch intervals 
VALUE 
--docker*VALUE 
--docker remove delay- 
VALUE 
--[no-]docker kill orphans 


--docker sock*VALUE 
--docker mesos image*VALUE 


--docker sandbox directory- 
VALUE 

--docker stop timeout= 
VALUE 

--[no-]enforce container 
disk quota 

--executor registration 
timeout-zVALUE 

--executor shutdown grace 
periodsVALUE 

--external log file*VALUE 

--fetcher cache size*VALUE 

--fetcher cache dir-VALUE 

--frameworks home*VALUE 

--gc delay*VALUE 

--gc disk headrooms VALUE 


--hadoop homesVALUE 


--haoks*VALUE 
--hostname-VALUE 


--isolation*VALUE 


--launcher dir*VALUE 

--image providers*VALUE 

--oversubscribed resources 
interval*VALUE 

--modules-VALUE 

--perf durationsVALUE 

--perf events*VALUE 

--perf interval*VALUE 

--qos controllers VALUE 

--qos correction interval 
minsVALUE 


LEE; 
硬盘 使 用 情况 的 周期 性 检查 间隔 ,默认 为 1mins 
docker 执行 文件 的 路 径 
删除 容器 之 前 的 等 待 时 间 ， 默 认为 6hrs 


清除 狐 儿 容器 ， 默 认为 true 

docker sock 地 址 ， 默 认为 /war'runydockersock 

运行 slave 的 docker 镜像 ， 如 果 被 配置 ，docker 会 假定 slave 运行 在 一 
个 docker 容器 里 


sandbox 喘 射 到 容器 里 的 哪个 路 径 

停止 实例 后 等 待 多 久 执 行 Kill 操作 ， 默认 为 0sees 

是 否 启 用 容器 配额 限制 .默认 为 false 

执行 应 用 最 多 可 以 等 多 久 再 注册 到 slave， 和 否则 停止 它 ， 默 认为 1mins 


执行 应 用 停止 后 ， 等 待 多 入， 默认 为 Ssees 


外 部 日 志文 件 

fetcher 的 cache 大 小 ， 默 认为 2GB 

fetcher cache 文件 存放 目录 ， 默 认为 /tmp/mesositeteh 

执行 应 用 前 添加 的 相对 路 径 ， 上 默认 为 空 

多 入 清理 一 次 执行 应 用 目录 ,默认 为 1weeks 

调整 计算 最 太 热 行 应 用 目录 年 龄 的 硬盘 留 空 量 ， 默 认为 0.1 

hadoop 安装 目录 .默认 为 室 ， 会 月 动 查 找 HADOOP HOME 或 者 从 系 
统 路 径 中 查找 

安装 在 master 中 的 hook 模块 列表 

slave 节点 使 用 的 主机 名 

隔离 机 制 ， 例 如 posix/epu.posix/mem (默认 ) 或 者 cgroups/epu.cgroups/ 
mem, external 等 

mesos 可 执行 文件 的 路 径 ， 默 认为 /usr/local/lib/mesos 

支持 的 容器 镜像 机 制 ， 例 如 'APPC, DOCKER' 


slave 节点 定期 汇报 超 配 资源 状态 的 周期 


要 加 载 的 模块 ， 支 持 文件 路 径 或 者 JSON 

perf 采样 时 长 必须 小 于 perf. interval， 默 认为 10secs 
perf 采样 的 事件 

perf 采样 的 时 间 间 隔 

超 配 机 制 中 保障 QoS 的 控制 器 名 


Qos 控制 咒 纠 正 超 配 资源 的 最 小 间隔 ， 默 认为 0sees 


配置 项 


--recover-VALUE 


--recovery timeout-VALUE 


--registrat-on backoff factor- | 


VALUE 
--resource monitcring interval- 
VALUE 


--resources-VALUE 


--[no-]revocable cpu low | 


priority 
--slave subsystems-VALUE 
--[no-]strict 
--[no-]switch user 
--work dir-VALUE 
--ephemeral ports per 
container-VALUE 
--ethO0 name-VALUE 
--lo name-VALUE 
--egress rate limit per 
container-VALUE 


--[no-]-egress unique flow | 


per container 
--[no-]network enable 


socket statistics 


| 说 阴 

回复 后 是 否 重 连 旧 的 执行 应 用 ，reconnect (默认 值 ) ERE, cleanup 清 
除 旧 的 执行 器 并 退出 

slave 恢复 时 的 超时 ， 太 久 则 所 有 相关 的 执行 应 用 将 自行 退出 ， 默 认为 
| I5mins 

ER master 进行 注册 时 候 的 重 试 时 间 间 隔 算法 的 因子 ， 默 认为 lsecs, o 
用 随 宙 指 数 算法 ， 最 长 Imins 


| 周期 性 监测 执行 应 用 资源 使用 情况 的 间隔 ， 默 认为 1secs 
每 个 slave 可 用 的 资源 ， 比 如 主机 端口 默认 为 [31000, 32000] 
运行 在 可 撤销 CPU 上 容器 将 拥有 较 低 优先 级 ， 默 认为 tue 


slave 运行 在 哪些 cgroup 子 系统 中 ， 包 括 memory，cpuacct $, RA Jus 
是 否认 为 所 有 错误 都 不 可 忽略 ， 默 认为 true 
| “用 提交 任务 的 用 户 身份 来 运行 ， 默 认为 true 
| framework 的 工作 目录 ， 默 认为 /tmp/mesos 

分 配给 一 个 容器 的 临时 端口 的 最 大 数目 ， 需 要 为 2 的 整数 罕 (默认 为 
1024 ) 

public 网 络 的 接口 名 称 ， 如 果 不 指 定 ， 根 据 主机 路 由 进行 猜测 

loopback 网 卡 名 称 
| “每 个 容器 的 输出 流量 限制 速率 限制 COH fq. codel 算法 来 限 速 )， 单 位 
Ana 

是 否 把 不 同 容器 的 流量 当 作 彼此 不 同 的 流 ， 避 免 彼 此 影响 (默认 为 


false ) 


是 否 采 集 每 个 容器 的 socket 统计 信息 ， 默 认为 false 


最 后 6 个 选项 需要 配置 --with-network-isolator 一 起 使 用 (编译 时 需 


要 启用 --with-network-isolator 参 数 ) : 


下 面 给 出 一 个 典型 的 slave 配 置 ， 容 器 为 Docker， 监 听 在 10.0.0.10 地 
址 ， 节 点 上 限制 16 个 CPU、64GB 内 存 ， 容 器 的 非 临 时 端口 范围 指定 为 
[31000~32000]， 临 时 端口 范围 指定 为 [32768~57344]， 每 个 容器 临时 并 
口 最 多 为 512 个 ， 并 且 外 出 流量 限 速 为 50MB/s: 


mesos-slave \ 


--master-zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 


--containerizers-docker \ 

--ip-10.0.0.10 \ 

--isolation-cgroups/cpu,cgroups/mem,network/port mapping \ 
--resources-cpus:16;mem:64000; ports:[31000-32000]; ephemeral ports:[32768-57344] \ 
--ephemeral ports per container-512 \ 

--egress rate limit per container-50000KB \ 

--egress unique flow per container 


为 了 避免 主机 分 配 的 临时 端口 跟 我 们 指定 的 临时 问 口 范围 冲突 ， 
需要 在 主机 节点 上 进行 配置 


$ echo "57345 61000" > /proc/sys/net/ipv4/ip local port range 
^I NES 
Qs 意 


非 临 时 端口 是 Mesos 分 配给 框架 ， 绑 定 到 任务 使 用 的 ， 端 口号 往往 
有 明确 意义 ; 临时 端口 是 系统 分 配 的， 往往 不 太 关 心 具 体 端 口号 。 


265 Haai 


Mesos 自 身 提供 了 强大 的 日 志和 监控 功能 ， 某 些 应 用 框架 也 提供 
了 针对 框架 中 任务 的 监控 能 力 。 通 过 这 些 接口 ， 用 户 可 以 实时 获知 集 
群 的 各 种 状态 。 


日 志文 件 默 认 在 /var/log/mesos 目 录 下 ， 根 据 日 志 等 级 带 有 不 同 后 
级 。 用 户 可 以 通过 日 志 来 调试 使 用 中 磁 到 的 问题 。 一 般 推荐 使 用 -- 
log_dir 选 项 来 指定 日 志 存 放 路 径 ， 并 通过 日 志 分 析 引 擎 来 进行 监控 。 


Mesos 提 供 了 方便 的 监控 接口 ， 供 用 户 查 看 集群 中 各 个 节点 的 状 


态 。 下 面 分 别 介 绍 两 种 节点 的 监控 。 
(0) ETA 


通过 http://MASTER_NODE:5050/metrics/snapshot 地 址 可 以 获取 到 
Mesos 主 节点 的 各 种 状态 统计 信息 ， 包 括 资源 (CPU、 人 硬盘 、 内 存 ) 
使 用 、 系 统 状 态 、 从 市 点 、 应 用 框架 、 任 务 状态 等 。 


例如 ， 碍 看 主 证 点 10.0.0.2 的 状态 信息 ， 并 用 jq 来 解析 返回 的 json 
对 和 象 : 


$ curl -s http://10.0.0.2:5050/metrics/snapshot |jq . 


"system/mem total bytes": 4144713728, 


"system/mem free bytes": 153071616, 
"system/load 5min": 0.37, 

"system/load imin": 0.6, 

"system/load 15min": 0.29, 

"system/cpus total": 4, 
"registrar/state store ms/p9999": 45.4096616192, 
"registrar/state store ms/p999": 45.399272192, 
"registrar/state store ms/p99": 45.29537792, 
"registrar/state store ms/p95": 44.8336256, 
"registrar/state store ms/p90": 44.2564352, 
"registrar/state store ms/p50": 34.362368, 


"master/recovery slave removals": 1, 
"master/slave registrations": 0, 

"master/slave removals": 0, 

"master/slave removals/reason registered": 0, 
"master/slave removals/reason unhealthy": ©, 
"master/slave removals/reason unregistered": 0, 
"master/slave reregistrations": 2, 
"master/slave shutdowns canceled": ©, 
"master/slave shutdowns completed": 1, 
"master/slave shutdowns scheduled": 1 


(2) 从 节点 


通过 http://SLAVE_NODE:5051/metrics/snapshot 地 址 可 以 获取 到 
Mesos 从 节点 的 各 种 状态 统计 信息 ， 包 括 资源 、 系 统 状态 、 各 种 消 奶 
状态 等 。 


例如 ， 查 看 从 节点 10.0.0.10 的 状态 信息 ， 如 下 所 示 : 


$ curl -s http://10.0.0.10:5051/metrics/snapshot |jq 
{ 
"system/mem total bytes": 16827785216, 
"system/mem free bytes": 3377315840, 
"system/load 5min": 0.11, 
"system/load imin": 0.16, 
"system/load 15min": 0.13, 
"system/cpus total": 8, 
"slave/valid status updates": 11, 
"slave/valid framework messages": 0, 
"slave/uptime secs": 954125.458927872, 
"slave/tasks starting": 0, 
"slave/tasks staging": 0, 
"slave/tasks running": 1, 
"slave/tasks lost": 0, 
"slave/tasks killed": 2, 


"slave/tasks finished": 0, 
"slave/executors preempted": ©, 
"slave/executor directory max allowed age secs": 403050.709525191, 
"slave/disk used": 0, 

"slave/disk total": 88929, 

"slave/disk revocable used": 0, 
"slave/disk revocable total": 0, 
"slave/disk revocable percent": 0, 
"slave/disk percent": 0, 
"containerizer/mesos/container destroy errors": 60, 
"slave/container launch errors": 6, 
"slave/cpus percent": 0.025, 
"slave/cpus revocable percent": 0, 
"slave/cpus revocable total": 0, 
"slave/cpus revocable used": ©, 
"slave/cpus total": 8, 

"slave/cpus used": 0.2, 
"slave/executors registering": 0, 
"slave/executors running": 1, 
"slave/executors terminated": 8, 
"slave/executors terminating": 0, 
"slave/frameworks active": 1, 
"slave/invalid framework messages": 0, 
"slave/invalid status updates": 0, 
"slave/mem percent": 0.00279552715654952, 
"slave/mem revocable percent": 90, 
"slave/mem revocable total": 0, 
"slave/mem revocable used": 0, 
"slave/mem total": 15024, 

"slave/mem used": 42, 

"slave/recovery errors": 0, 
"slave/registered": 1, 

"slave/tasks failed": 6 


另外 ， 通 过 http:/MASTER_NODE:5050/monitor/statistics.json 地 址 
可 以 看 到 该 从 节点 上 容 辟 网 络 相关 的 统计 数据 ， 包 括 进出 流量 、 丢 包 
数 、 队 列 情况 等 。 获 取 方 法 同上 ， 在 此 不 再 演示 。 


26.6 E ILM H HEZR 


应 用 框架 是 实际 干 活 的 ， 可 以 理解 为 Mesos 之 上 跑 的 “应 用 ”。 应 用 
框架 注册 到 Mesos master 服 务 上 即 可 使 用 。 用 户 大 部 分 上 时候， 只 需要 跟 
应 用 框架 打交道 。 因 此， 选择 合适 的 应 用 框 染 十 分 关键。 


Mesos 目 前 文 持 的 应 用 框架 分 为 四 大 类 : 长 期 运行 服务 (以 及 
PaaS) 、 大 数据 处 理 、 批 量 调 度 、 数 据 存储 。 


随 独 Mesos 目 身 的 发 展 ， 越 来 越 多 的 框架 开始 文 择 Mesos， 表 26-4 


总 结 了 目前 第 用 的 一 些 框架 。 


表 26-4 Mesos 文 持 的 第 见 应 用 框架 


分 类 框 架 说 明 
[ 项 日 维护 地 址 在 http://aurora.incubator.apache.org 利用 mesos 调度 安排 的 任 
务 ， 保 证 任务 一 直 在 运行 提供 REST 接口 ， 客 户 端 和 webUI (8081 端口 ) 
项 目 维护 地 址 在 hups:github.com/mesosphere/marathon 一 个 私有 Paas 平 
T 台 ， 保 证 运行 的 应 用 不 被 中 断 。 刀 果 任 务 停止 了 ， 会 月 动 重 启 一 个 新 的 相同 
长 期 运行 的 服务 任务 。 支持 任务 为 任意 bash 命令 ， 以 及 容器 。 提 供 REST 接口 、 客 户 端 和 
webUI ( 8080 2m L1) 
3j H ZETP tb IEE https: /github.com/HubSpot/Singularity 
Singularity —^T 4. fi Pas 平台 。 调 度 器 运行 长 期 的 任务 和 一 次 性 任务 。 所 供 REST 
接口 、 客 户 端 和 webUI ( 7099, 、8080 端口 )， 支 持 容器 
项 目 维护 地 址 在 https://github.com/nqn/mesos-chapel 
Cray Chapel — E 
支持 Chapel 并 行 编程 语言 的 运行 框架 
项 目 维护 地 址 在 https://github.com/douban/dpark 
Dpark 
Spark 的 Python 实现 
Büdosp 项 目 维 护 地 址 在 https://github.com/mosos/hndoop 
大 数据 人 钼 理 Ze ILI] map-reduce 模型 的 实现 
J H Ete hh IEE http://spark.incubator.apache.org 
Spark JR Hadoop 类 位， 但 处 理 先 代 关 型 任务 会 更 好 的 使 用 内 在 做 中 间 状 态 缓 年 ， 
速度 要 快 一 些 
io 项 目 维护 地 韦 :在 https:/github.com/mesosphere/storm-mesos 


分 布 式 流 计算 ， 可 以 实时 处 理 数 据 流 


分 类 框架 说 RH 
项 日 维护 地 此 在 hitpsz//github.com/airhnb/chronos 
Cron 的 分 布 式 实 现 ， 负 责任 务 调度 ， 支 持 容 钻 
项 日 维护 地 址 在 https://github.com/jenkinsci/mesos-plugin 
Jenkins 大 名 蜂 易 的 CI 引擎。 使 用 mesos-jsnkins 插件 ， 可 以 将 jenkins 的 任务 被 
Mesos 集群 来 动态 调度 执行 
项 目 维护 地 址 在 httpz//www.grandlogic.com/content/html docs/jobserver.html 
基于 Java 的 调度 任务 和 数据 处 理 引擎 
项 目 维护 地 址 在 https://bitbucket.org/osallou/go-docker 
GoDocker 基于 Docker 容器 的 集 税 维护 工具 、 提 供用 户 接口 . 除了 支持 Mesos, Ex 


持 Kubernetes, Swarm 等 


Chronos 


批量 调度 


JobServer 


项 目 维护 地 址 在 https://github.com/mesosphere/cassandra-mesos 

高 性 能 的 分 布 式 数 据 库 。 可 扩展 竹 很 好 ， 支 持 高 可 用 

项 目 维护 地 址 在 https://github.com/mesosphere/elasticsearch-mesos 

功能 | 分 强大 的 分 布 式 数据 搜索 引擎 。 一 方面 通过 分 布 式 集群 实现 可 靠 
的 数据 库 ， 一 方面 提供 灵活 的 API 对 数据 进行 整合 和 分 析 。ElasticSearch + 
LogStash +Kibana 日 前 合成 为 ELK 工具 栈 

项 目 维护 地 址 在 httpsz/code.googlc.com/p/hypertable 

高 性 能 的 分 布 式 数据 库 ， 支 持 结构 化 或 者 非 结 构 化 的 数据 存储 

项 日 维护 地 引 在 hrtpz/tachyon-project.org/ 

内 存 为 中 心 的 分 布 式 存储 系统 ， 利 月 内 存 访 问 的 高 速 提供 高 性 能 


Cassandra 


ElasticScarch 


数据 存储 


Hypertable 


Tachyon 


26.7 本章 小 结 


本 章 讲 解 了 Mesos 的 安 洲 使 用 、 基 本 原理 和 架构 ， 以 及 文 持 Mesos 
的 重要 应 用 框架 。Mesos 最 初 设计 为 资源 调度 器 ， 然 而 其 灵活 的 设计 
和 对 上 层 框 架 的 优秀 支持 ， 使 得 它 可 以 很 好 地 文 持 大 规模 的 分 布 式 应 
用 场景 。 结 合 Docker，Mesos 可 以 很 容易 部 署 一 套 私 有 的 容器 云 。 


除了 核心 功能 之 外 ，Mesos 在 设计 上 有 许多 值得 借鉴 之 处 ， 比 如 
它 请 晰 的 定位 、 稍 洁 的 架构 、 细 致 的 参数 、 高 度 容 错 的 可 靠 ， 还 有 对 


限 速 、 监 探 等 的 文 持 等 。 


Mesos 作 为 一 套 成 熟 的 开源 项 目 ， 可 以 很 好 地 被 应 用 和 集成 到 生 
产 环境 中 。 但 它 的 定位 集中 在 资源 调度 ， 往 往 需要 结合 应 用 框架 或 二 
次 开发 。 


第 27 瘟 ”Kubernetes 生产 级 容 硕 集群 平台 


Kubernetes 是 Google 团 队 发 起 并 维护 的 开源 容 融 集群 管理 系统 ， 
持 如 Docker 等 容器 技术 。 类 似 Docker Swarm， 使 用 Kubernetes， 用 户 可 
以 轻松 搭建 和 管理 一 个 私有 容器 云 。 


本 章 将 介绍 Kubernetes 相 天 的 核心 概念 和 重要 实现 组 件 ， 以 及 如 
何 进行 安装 部 署 。 读 者 通过 学 习 Kubernetes 的 命令 ， 可 以 体会 如 何在 
生产 环境 中 灵活 使 用 Kubernetes 来 提高 应 用 开发 和 部 署 的 效率 。 


Kubernetes 是 Google 公 司 于 2014 年 基于 内 部 集群 管理 系统 Borg 开 源 
的 容器 集群 管理 项 目 。 该 项 目 基 于 Go 语言 实现 ， 试 图 为 基于 容 锅 的 应 
用 部 署 和 管理 打造 一 套 强 大 并 且 易 用 的 管理 平台 。Kubermnetes 目 开源 之 
日 起 就 吸引 了 众多 公司 和 容器 技术 爱好 者 的 关注 ， 是 目前 容器 集群 管 
理 最 优秀 的 开源 项 目 之 一 。 已 有 Microsoft、RedHat、IBM、Docker、 
Mesosphere、CoreOS 以 及 SaltStack 等 公司 加 入 了 Kubernetes 社 区 。 


kubernetes coour 


Kubernetes 的 前 身 (Borg 系 统 ) 在 Google 内 部 已 经 应 用 了 十 几 年 ， 
积累 了 大 量 来 自生 产 环境 的 宝贵 实践 经 验 。 在 设计 Kubernete 的 时 候 ， 
团队 也 很 好 地 结合 了 来 目 社 区 的 想法 。 


正 是 因为 这 些 积 系 ， 作 为 一 套 分 布 式 应 用 容 如 集群 系统 ， 
Kubernetes 拥 有 鲜明 的 技术 优势 : 


-优秀 的 API 设 计 ， 以 及 简洁 高 效 的 架构 设计 ， 主 要 组 件 个 数 很 少 ， 
彼此 之 间 通 过 接口 调用 ; 
-基于 微服 务 模式 的 多 层 资源 抽象 模型 ， 兼 顾 灵 活性 与 可 操作 性 ， 


提出 的 Pod 模 型 被 许多 平台 借鉴 ; 


.可 拓展 性 好 ， 模 块 化 容易 替换 ， 伸 缩 能 力 极 佳 ，1.2.0 版 本 单 集群 
支持 1000 个 节点 ， 同 时 运行 30000 个 Pods; 


自动 化 程度 高 ， 真 正 实 现 * 所 得 即 所 需 ”"， 用 户 通过 模板 声明 服务 
， 生 命 周期 都 是 目 动 化 管理 ; 


n 


:部署 支 持 多 种 环境 ， 包 括 虚 拟 机 、 裸 机 部 署 ， 还 很 好 地 支持 常见 
云 平台 ， 包 括 AWS、GCE 等 ; 


文 持 丰 富 的 运 维 工 具 ， 方 便 用 户 对 集群 进行 性 能 测试 、 问 题 检 查 


和 状态 监控 ; 


- 自 带 控制 台 、 客 户 端 命 令 等 工具 ， 人 允许 用 户 通 过 多 种 方式 与 


kubernetes 集 群 进行 交互 。 


基于 Kubernetes， 可 以 很 容易 地 实现 一 套 PaaS， 比 如 Openshift 和 


Deis ? 


Kubernetes 目 前 在 github.com/kubernetes/kubernetes 进 行 维护 ， 最 新 
版 本 为 1.3.x。 


2015 年 7 月 发 布 的 1.0 版 本 是 Kubernetes 的 第 一 个 正式 版 本 ， 标 志 着 
核心 功能 已 经 逐渐 成 熟 稳 定 ， 可 以 正式 投入 生产 环境 使 用 。 


2016 年 3 月 发 布 的 1.2.0 版 本 ， 在 性 能 、 稳 定性 和 可 管理 性 上 都 有 了 
重大 的 优化 和 升级 ， 包 括 对 多 可 用 域 的 文 择 、 监 控 服 务 增强 、 上 于 物 
理 世 点 的 文 持 等 令 人 振 瘟 的 特性 。 本 书 将 以 1.2.x 叹 本 系列 为 主 ， 兼 顾 
1.3.x 中 的 新 特性 进行 剖析 和 实践 。 


Oaz 


Kubernetes 来 自 希 腊 语 ， 是 “领航 员 ”* 的 意思 ， 经 常 被 缩写 为 K8S。 


27.2 ”核心 概念 


Kubernetes 的 核心 概念 见 图 27-1。 


要 想 深 入 理解 Kubernetes 的 特性 和 工作 机 制 ， 首 先 要 掌握 Kubernete 
模型 中 的 核心 概念 。 这 些 核心 概念 反映 了 Kubernetes 设 计 过 程 中 对 应 用 
独 集 群 的 认 知 模型 。 


> 


首先 是 集群 组 件 ， 从 架构 上 看 ，Kubernetes 集 群 (Cluster) 也 采用 
了 典型 的 “ 主 - 从 ”架构 。 一 个 集群 主要 由 管理 组 件 (Master) 和 工作 节 
点 (Node) 组 件 构 成 。 


男 外 ，Kubernetes 集 群 的 主要 任务 始终 围绕 着 应 用 的 生命 周期 。 通 
过 将 不 同 资源 进行 不 同 层 次 的 抽象 ，Kubernetes 提 供 了 灵活 可 靠 的 生命 
周期 管理 。 资 源 的 核心 抽象 主要 包括 : 


.容器 组 (Pod) : 由 位 于 同一 节点 上 若干 容器 组 成 ， 彼 此 共享 网 络 
命名 空间 和 存储 卷 (Volume) 。Pod 是 Kubernetes 中 进行 管理 的 最 小 资 
源 单位 ， 是 最 为 基础 的 概念 。 跟 容器 类 似 ，Pod 是 短暂 的 ， 随 时 可 变 
H3; 


-服务 (Service) : 若干 〈 往 往 是 同类 型 的 ) Pod 形 成 的 对 外 提供 某 
个 功能 的 抽象 ， 不 随 Pod 改 变 而 变化 ， 带 有 唯一 固定 的 访问 路 径 ， 如 IP 


地 址 或 者 域名 。 


.复制 控制 器 (Replication Controller) : 负责 启动 Pod， 并 维护 其 健 
康 运 行 的 状态 。 是 用 户 管理 Pod 的 句柄 。 


D (Deployment) : 创建 Pod， 并 可 根据 参数 自动 创建 管理 Pod 
的 复制 控制 器 ， 并 且 支 持 升 级 。1.2.0 版 本 引入 提供 比 复制 控制 器 更 方 
TERSTRTE ; 


-横向 Pod 扩 展 器 (Horizontal Pod Autoscaler, HPA) : 类 似 云 里 面 
的 自动 扩展 组 ， 根 据 Pod 的 使 用 率 (典型 如 CPU) 自动 调整 一 个 部 署 里 
面 Pod 的 个 数 ， 保 障 服务 可 用 性 ; 


kube-aplserver 
kube-scheduler 
kubc-controller-manager 
kube-ul 

etcd DNS 等 


kubelet 
kubeproxy 


容器 引擎 


辅助 组 件 ， 如 supervlsord, fluentd 等 
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图 27-1 Kubernetes 的 核心 概念 
此 外 ， 还 有 一 些 管理 资源 相关 的 辅助 概念 ， 主 要 包括 : 


注解 (Annotation) : 键 值 对 ， 可 以 存放 大 量 任意 数据 ， 一 般 用 来 
添加 对 资源 对 象 的 详细 说 明 ， 可 供 其 他 工具 处 理 。 


-标签 (Label) : 键 值 对 ， 可 以 标记 到 资源 对 象 上 ， 用 来 对 资源 进 


ZF (Name) : 用 户 提供 给 资源 的 别名 ， 同 类 资源 不 能 重 名 


: 


.命名 空间 (Namespace) : 这 里 是 指 资源 的 空间 ， 避 免 不 同 租户 的 
资源 发 生命 名 冲突 ， 男 外 可 以 进行 资源 限额; 


.持久 卷 (PersistentVolume) : 类 似 于 Docker 中 数据 卷 的 概念 ， 就 
是 一 个 数据 日 录 ，Pod 对 其 有 访问 权限 。 


-秘密 数据 (Secret) : 存放 敏感 数据 ， 例 如 用 户 认证 的 口令 等 


.选择 器 (Selector) : 基于 标签 概念 的 一 个 正则 表达 式 ， 可 通过 标 
签 来 筛选 出 一 组 资源 ; 


-Daemon (DaemonSet) : 确保 节点 上 肯定 运行 某 个 Pod， 一 般 用 
来 采集 日 志和 监控 节点 ; 


任务 (Job) : 确保 给 定数 目的 Pod 正 常 退 出 (完成 了 任务 ) ; 
-入口 资 源 (Ingress Resource) : 用 来 提供 七 层 代理 服务 ; 


:资源 限额 (Resource Quotas) : 用 来 限制 某 个 命名 空间 下 对 资源 
的 使 用 ， 开 始 逐 渐 提供 多 租户 支持 : 


.安全 上 和 下文 (Security Context) : 应 用 到 容器 上 的 系统 安全 配 
置 ， 包 括 uid、gid、capabilities、SELinux 角 色 等 ; 


.服务 账号 (Service Accounts) : 操作 资源 的 用 户 账号 。 


下 面 分 别 解释 这 些 核心 概念 的 含义 和 用 法 。 
27.2.1 集群 组 件 


集群 由 使 用 Kubernetes 组 件 管理 的 一 组 和 点 组 成 ， 这 些 世 点 提供 了 
容器 资源 池 供 用 户 使 用 。 主 要 包括 管理 (Master) 组 件 和 市 点 
(Node) 组 件 。 


1.Master 组 件 


顾名思义 ，Master 组 件 提 供 所 有 与 管理 相关 的 操作 ， 例 如 调度 、 监 
控 、 文 持 对 资源 的 操作 等 。 


Master 会 通过 Node Controller 来 定期 检查 所 管理 的 Node 资 源 的 健康 
状况 ， 完 成 Node 的 生命 周期 管理 。 


2.Node 组 件 


在 Kubernetes 中 ，Node 是 实际 工作 的 计算 实例 (在 1.1 之 前 版 本 中 
名 字 叫 做 Minion) 。 节 点 可 以 是 虚拟 机 或 者 物理 机 器 ， 在 创建 


Kubernetes 集 群 过 程 中 ， 都 要 预 装 一 些 必 要 的 软件 来 啊 应 Master 的 管 
理 。 目 前 ，Node 的 配置 还 只 能 通过 人 工 手 动 进行 ， 未 来 可 以 支持 通过 
Master 来 目 动 配置 。 


Node 节 点 有 几 个 重要 的 属性 ， 地 址 信息 、 阶 段 状态 、 资 源 容量 、 
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地 址 信息 包括 : 


.主机 名 (HostName) : 节点 所 在 系统 的 主机 别名 ， 基 本 不 会 用 
到 


-外 部 地 址 (ExtemalIP) : 集群 外 部 客户 端 可 以 通过 该 地 址 访问 到 


H7 1 5s 


-内 部 地 址 (InternalIP) : 集群 内 可 访问 的 地 址 ， 外 部 往往 无 法 通 
过 该 地 址 访问 和 点 。 


阶段 状态 包括 : 


-待定 (Pending) : 新 创建 节点 ， 还 未 就 绪 状 态 ， 需 要 进一步 的 配 


-运行 中 (Running) : 正常 运行 中 的 节点 ， 可 被 分 配 Pod， 会 定期 
汇报 运行 状态 消 妨 ; 


终止 〈Terminated) : 区 点 已 经 停止 ， 处 于 不 可 用 状态 ， 判 断 条 件 
为 5 分 钟 内 未 收 到 运行 状态 消 轧 。 


人 质 源 容量 包括 闻 见 操作 系统 资源 ， 如 CPU、 内 存 、 最 多 存放 的 Pod 


六 点 信息 包括 操作 系统 内 核 信 息 、Kubernetes 版 本 信息 、Docker3| 
警 版 本 信息 等 ， 会 由 kubelet 定 期 汇报 。 


27.2.2 ”资源 抽象 


Kubernetes 对 集群 中 的 资源 进行 了 不 同 级 别 的 抽象 ， 每 个 资源 都 是 
一 个 REST 对 象 ， 通 过 API 进 行 操作 ， 通 过 JSON/YAML 格 式 的 模板 文件 
进行 定义 。 

在 使 用 Kubernetes 过 程 中 ， 要 注意 积累 这 些 模板 文件 。 在 
Kubernetes 代 码 包 的 example 目 隶 下 自 带 了 十 分 翔实 的 示例 模板 文件 ， 
推荐 读者 参考 使 用 。 


1. 容 器 组 (Pod) 


在 Kubernetes 中 ， 并 不 直接 操作 容 历 ， 最 小 的 管理 单位 是 容 辟 组 
(Pod) 。 容 器 组 由 一 个 或 多 个 容器 组 成 ，Kubemetes 围 绕 容器 组 进行 
创建 、 调 度 、 停 止 等 生命 周期 管理 。 


同一 个 容器 组 中 ， 各 个 容器 共享 命名 空间 (包括 网 络 、IPC、 文 件 
系统 等 容器 支持 的 命名 空间 ) 、cgroups 限 制 和 存储 卷 。 这 意味 着 同一 
容 右 组 中 ， 各 个 应 用 可 以 很 方便 相互 进行 访问 ， 比 如 通过 localhost 地 址 
进行 网 络 访问 ， 通 过 信号 量 和 共享 内 存 进行 进程 间 通 信 等 ， 类 似 于 经 
典 场景 中 运行 在 同一 个 操作 系统 中 的 一 组 进程 。 可 以 人 简单 将 一 个 Pod 当 
作 是 一 个 抽象 的 “虚拟 机 ”"， 里 面 运行 者 干 个 不 同 的 进程 (每 个 进程 实 


际 上 就 是 一 个 容器 ) 


实现 上 上， 是 先 创 建 一 个 gcr.io/google_containers/pause 容 器 ， 创 建 相 
天 命名 空间 ， 然 后 创建 Pod 中 的 其 他 容器 ， 共 圣 pause 容 器 的 命名 空间 。 


容 紫 组 内 的 大 和 干 容 大 往往 是 存在 共同 的 应 用 目的 ,彼此 关联 十 分 
紧密 ， 例 如 一 个 Web 应 用 和 对 应 的 日 志 采 集 应 用 或 状态 监控 应 用 。 如 果 
单纯 把 这 些 相 关 的 应 用 放 一 个 容器 里 面 ， 叉 会 造成 过 度 籼 合 ， 管 理 升 
级 部 不 方便 。 


容 如 组 的 经 典 应 用 场景 包括 : 


内 容 管 理 ， 文 件 和 数据 加 载 ， 缓 存 管 理 等 ; 


-日志 处 理 ， 状 态 快 照 等 ; 


监控 代理 ， 消 息 发 布 等 ; 


代理 机 制 ， 网 桥 、 网 卡 等 ; 


-控制 甫 ， 管 理 右 ， 配 置 以 及 更 新 等 。 


跟 其 他 资源 类 似 ， 容 器 组 是 一 个 REST 对 象 ， 用 户 可 以 通过 YAML 
个 容器 组 资源 ， 例 如 : 


或 者 JSON 模 板 来 定义 一 个 容器 


apiVersion: v1 
kind: Pod 
metadata: 
name: nginx-test 
spec: 
containers: 
- name: nginx 
image: nginx 
ports: 
- containerPort: 80 


量 解 而 的 特性 ， 叉 提供 了 调度 操 


可 以 说 ， 容 右 组 既 保持 了 容器 轻 
作 的 便利 性 ， 在 实践 中 提供 了 比 单个 容器 更 为 灵活 和 更 有 意义 的 抽 


象 。 
容器 组 生命 周期 包括 五 种 状态 值 :待定 (Pending) 、 运 行 


(Running) 、 成 功 (Succeeded) ^ AJ (Failed) ` RAN 
(Unknown) : 
.待定 (Pending : 已 经 被 系统 接受 ， 但 容器 镜像 还 未 束 绪 ; 


分 配 到 节点 ， 所 有 容器 都 被 创建 ， 至 少 一 个 容 


.运行 (Running) : 


.成功 (Succeeded) : 所 有 容器 都 正常 退出 ， 不 需要 重启 ， 任 务 


.失败 (Failed) : 所 有 容器 都 退出 ， 至 少 一 个 容器 是 非 正常 退出 ; 
未知 (Unknown) : 未 知 状态 ， 例 如 所 在 节点 无 法 汇报 状态 。 
2. 复 制 控 制 器 (Replication Controller) fI (Deployment) 


在 Kubernetes 看 来 ，Pod 资 源 是 可 以 随时 故障 的 ， 并 不 非 要 保证 Pod 
的 运行 ， 而 是 在 发 生 失 败 后 重新 生成 。Kubernetes 通 过 复制 控制 器 来 实 


现 这 一 功能 。 


一 /人 一 


用 户 申请 容器 组 后 ， 复 制 控制 器 将 负责 调度 容 右 组 到 某 个 市 点 
给 定 份 数 (replica) 正常 运行 。 当 实际 运行 Pod 份 数 超 


上 并 你 证 它 的 
过 数目 ， 则 终止 某 些 Pod;， 当 不 足 ， 则 创建 新 的 Pod。 一 般 建 议 ， 即 使 
Pod 份 数 是 1， 也 要 使 用 复制 控制 器 来 创建 ， 而 不 是 直接 创建 Pod 。 


可 以 将 复制 控制 器 类 比 为 进程 的 监管 者 (supervisor) 的 角色 ， 只 
不 过 它 不 光 能 保持 Pod 的 持续 运行 ， 还 能 保持 集群 中 给 定 类 型 Pod 同 时 
运行 的 个 数 为 指定 值 。 

Pod 是 临时 性 的 ， 可 以 随时 被 复制 控制 器 创建 或 者 销毁 ， 这 意味 着 
要 通过 Pod 目 身 的 地 址 访问 应 用 是 不 能 保证 一 致 性 的 。Kubernetes 通 过 


服务 的 概念 来 解决 这 个 问题 。 


从 1.2.0 版 本 开始 ，Kubernetes 将 正式 引入 部 署 (Deployment) 机 制 
来 支持 更 灵活 的 Pod 管 理 ， 从 而 用 户 无 需 直接 跟 复 制 控制 器 打交道 了 。 


3. 权 向 Pod 扩 展 器 (Horizontal Pod Autoscaler) 


横向 扩展 器 (HPA) 在 复制 控制 器 和 部 署 的 基础 上 增加 了 自动 反 
铬 机 制 ， 通 过 定期 查询 Pod 的 资源 利用 率 来 调整 Pod 的 数目 ， 确 人 服务 
的 可 用 性 。 


典型 的 一 个 场景 是 ， 定 期 (由 --horizontal-pod-autoscaler-sync- 
period 参 数 指定 ) 通过 Heapster 组 件 来 检查 目标 部 署 内 Pod 的 平均 CPU 使 
用 情况 ， 当 CPU 使 用 率 高 出 目标 值 ， 自 动 增加 Pod 数 ， 反 之 降低 。 内 部 
机 制 是 通过 scale 接 口 来 操作 资源 。 


Qaz 


Heapster 是 一 套 监 控 工 具 ， 文 持 对 从 kubelet 中 采集 的 系统 数据 进行 
整合 处 理 和 展示 ， 可 参考 https://github.com/kubernetes/heapster ° 


用 户 可 以 显 式 定义 一 个 横向 扩展 器 资源 ， 绑 定 到 部 署 对 象 上 ， 也 
可 以 通过 autoscale 命 令 来 自动 创建 ， 例 如 : 


$ kubectl autoscale rc test rc --min=2 --max=5 --cpu-percent-80 


会 自动 创建 一 个 复制 控制 器 ， 复 制 个 数 范 围 为 2~5，CPU 利 用 率 的 
目标 值 为 80%。 


注意 ， 当 使 用 复制 控制 需 进 行 滚动 升级 时 ， 横 回 扩 展 器 并 不 会 目 
动 绑 定 到 新 创建 的 复制 控制 右上 。 


4. 服 务 (Service) 


Kubernetes 主 要 面向 的 对 象 是 持续 运行 ， 并 且 无 状态 
(stateless) 。 服 务 的 提出 主要 是 要 解决 Pod 地 址 可 变 的 问题 。 由 于 Pod 
随时 可 能 故障 ， 并 可 能 在 其 他 节点 上 被 重启 起 来 ， 它 的 地 址 是 不 能 保 
持 固 定 的 。 因 此 ， 用 一 个 服务 来 代表 提供 某 一 类 功能 (可 以 通过 标签 
KIE) 的 一 些 Pod， 并 分 配 不 随 Pod 位 置 变化 而 改变 的 虚拟 访问 地 址 
(Cluster IP) 。 这 也 符合 微服 务 的 理念 。 


比如 网 站 的 后 端 服务 可 能 有 多 个 Pod 都 运行 了 后 端 处 理 程序 ， 它 们 
可 以 组 成 一 个 服务 。 前 端 只 需要 通过 服务 的 唯一 虚拟 地 址 来 访问 即 
可 ， 而 无 需 关 心 具 体 是 访问 到 了 哪个 Pod。 可 见 ， 服 务 跟 负 载 均 衡器 实 
现 的 功能 很 相似 。 


组 成 一 个 服务 的 Pod 可 能 属于 不 同 复制 控制 厚 ， 但 服务 目 身 是 不 知 
道 复制 控制 万 的 存在 的 。 


同样 ， 服 务 也 走 一 个 REST 对 象 ， 用 户 可 以 通过 模板 来 定义 一 个 服 


g) 


务 资 源 : 


"kind": "Service", 
"apiVersion": "v1", 
"metadata": ( 


"name": "web-service" 
"spec": ( 
"selector": ( 
"app" E "webApp" 
h 
"ports": [ 
i 
"protocol": "TCP", 
"port": 80, 
"targetPort": 80 
} 
] 


} 
} 


这 个 模板 会 冯 选 所 有 融 有 标签 app: webApp 的 Pod， 作 为 web- 
service， 对 外 呈现 的 访问 端口 为 80， 映 射 到 Pod 的 80 端 口上 。 


服务 在 创建 后 ， 会 被 自动 分 配 一 个 集群 地 址 (Cluster IP) ， 这 个 
地 址 并 不 绑 定 到 任何 接口 ， 将 作为 访问 服务 的 抽象 地 址 。 访 问 该 地 址 
会 被 映射 到 Pod 的 实际 地 址 。 实 现 上 是 通过 kube-proxy 进 程 。 每 个 和 点 
上 都 会 运行 一 个 kube-proxy 进 程 ， 负 责 将 到 某 个 Service 的 访问 给 代理 或 
者 均衡 到 具体 的 Pod 上 去 。 同 时 ， 会 为 每 一 个 服务 都 创建 环境 变量 ， 指 
向 集群 地 址 ;或 者 在 DNS 中 注册 该 服务 的 集群 地 址 。 


也 许 会 有 用 户 考虑 使 用 DNS 方式 来 蔡 代 服务 的 集群 IP 机 制 ， 这 是 
元 全 可 以 的 ，Kubermetes 也 提供 了 基于 skydns 的 插件 文 持 。 但 是 要 处 理 
好 DNS 查找 的 缓存 过 期 时 间 问 题 。 当 某 个 Pod 发 生变 化 时 ， 要 让 和 客户 站 
本 地 的 DNS 缓存 过 期 。 


另外 ， 服 务 文 持 进 行 不 同类 型 的 健康 检查 ( 


通过 容 絮 spec 中 的 
livenessProbe 或 ReadinessProbe 字 段 定 义 ) ， 目 前 包括 三 种 类 型 . 


.通过 HTTP 获 取 资 源 是 否 成 功 ; 
:在 容器 中 执行 指定 命令 ， 返 回 值 是 否 为 0; 
.打开 给 定 socket 端 口 是 否 成 功 。 


探测 的 结果 可 能 为 成 功 、 失 败 或 未 知 。 其 中 LivenessProbe 反 映 的 
是 容 絮 目 身 状态 ， 如 果 配 置 了 重 局 抹 略 ， 则 失败 状态 会 触发 目 动 重 
JH; 而 ReadinessProbe 字 上 段 用 来 反映 容器 内 的 服务 是 否 可 用 。 


27.2.3 ”辅助 概念 


1. 标 签 (Label) 


标签 是 一 组 键 值 对 ， 用 来 标记 所 绑 定 对 象 (典型 的 就 是 Pod) 的 识 
别 属性 ， 进 而 可 以 分 类 。 比 如 name=apachelnginx、type=webldb、 
release=alphalbetalstable、tier=frontendlbackend 等 。 另 外 ，Label 键 文 持 
通过 /来 添加 前 级 ， 可 以 用 来 标注 资源 的 组 织 名 称 等 。 一 般 前 级 不 能 超 


过 253 个 字符 ， 键 名 不 能 超过 63 个 字符 。 


标签 所 定义 的 属性 是 不 唯一 的 ， 这 意味 着 不 同人 资源 可 能 带 有 相同 
的 标签 键 值 对 。 这 些 属性 可 以 将 业务 的 相关 信息 绑 定 到 对 象 上 ， 用 来 
对 资源 对 象 进行 分 类 和 选择 过 滤 。 


2. 注 解 (Annotation) 


注解 跟 标 等 很 相似 ， 也 是 一 组 键 值 对 。 不 同 的 是 ,注解 并 不 起 为 
了 分 类 资源 对 象 ， 而 是 为 了 给 对 象 增加 更 丰富 的 描述 信息 。 这 些 信息 
征 任意 的 ， 数 据 量 可 以 很 大 ， 可 以 包括 各 种 结构 化 、 非 结构 化 的 数 
据 。 
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3. 选 择 器 (Selector) 


基于 资源 对 象 上 绑 定 的 标签 信息 ， 选 择 器 可 以 通过 指定 标签 键 但 
对 来 过 滤 出 一 组 特定 的 资源 对 象 。 远 择 絮 文 持 的 语法 包括 : 基于 等 式 
(Equality-based) 的 和 基于 集合 (Set-based) 的 。 


基于 等 式 的 选择 ， 即 通过 指定 某 个 标签 是 否 等 于 某 个 值 ， 例 如 
env=production 或 者 tier! =frontend 等 。 多 个 等 式 可 以 通过 AND 远 辑 组 合 


在 一 起 。 


基于 集合 的 选择 ， 即 通过 指定 菏 个 标签 的 值 是 售 在 某 个 集合 内 ， 


例如 env in(staging, production) ° 
4. 持 久 卷 (PersistentVolume) 


PersistentVolume 即 容 如 挂 载 的 数据 卷 ， 有 跟 Pod 一 致 鸭 生 命 周 期 ， 
Pod 生 存 过 程 (包括 重启 ) 中 ， 数 据 卷 跟 着 存在 ;Pod 退 出 ， 则 数据 卷 
跟着 退出 。 


几 个 比较 常见 的 数据 卷 类 型 包括 : emptyDir、hostPath、 


gcePersistentDisk ` awsElasticBlockStore ^ nfs ` gitRepo ^ secret ° 


emptyDir: 当 Pod 创 建 的 时 候 ， 在 节点 上 创建 一 个 空 的 挂 载 目 录 ， 
挂 载 到 容器 内 。 当 Pod 从 市 点 离开 (例如 删除 掉 ) 的 时 候 ， 挂 载 目录 内 
数据 被 目 动 删除 挥 。 世 点 上 的 挂 载 位 置 可 以 为 物理 硬盘 或 内 存 。 这 一 
类 的 挂 载 适用 于 非 持久 化 的 存储 ， 例 如 跟 Pod 任 务 相 关 的 临时 数据 等 。 
除 此 之 外 ， 其 他 存储 格式 大 都 古 持久 化 的 ; 


:hostPath: 将 万 点 上 某 已 经 存在 的 目 永 挂 载 到 Pod 中 ，Pod 退 出 后 ， 
节点 上 的 数据 将 保留 ; 


.gcePersistentDisk: 使 用 GCE 的 Persistent Disk 服 务 ，Pod 退 出 后 ， 
数据 会 被 保留 ; 


-awsElasticBlockStore: 使 用 AWS 的 EBS Volume 服 务 ， 数 据 也 会 被 
持久 化 保留 ; 


nfs: 使 用 nfs 协 议 的 网 络 存 储 ， 也 是 持久 化 数据 存储 ; 


'gitRepo: 挂 载 一 个 空 目 杂 到 Pod， 然 后 clone 指 定 的 git 仓 库 代 码 到 
里 面 ， 适 用 于 直接 从 仓库 中 给 定 版 本 的 代码 来 部 署 应 用 ，; 


secret: 用 来 传递 敏感 信息 (如 密码 等 ， 基 于 内 存 的 tmpfs， 挂 载 
临时 秘密 文件 ; 


其 他 类 型 还 包括 iscsi、flocker、glusterfs、rbd、downwardAPI、 


FlexVolume、AzureFileVolume 等 。 


持久 化 的 存储 以 插件 的 形式 提供 为 PersistentVolume 资 源 ， 用 户 通 
过 请 求 某 个 类 型 的 PersistentVolumeClaim 资 源 ， 来 从 匹配 的 持久 化 存储 
卷 上 获取 绑 定 的 存储 。 


质 源 定义 仍然 通过 yml 或 json 格 式 的 模板 文件 ， 例 如 定义 一 个 持久 
化 存储 卷 : 


apiVersion: v1 
kind: PersistentVolume 
metadata: 
name: pv0O1 
spec: 
capacity: 

storage: 1006Gi 
accessModes: 

- ReadWriteOnce 
persistentVolumeReclaimPolicy: Recycle 
nfs: 

path: /tmp 

server: 192.168.0.2 


5. 秘 密 数 据 (Secret) 


秘密 数据 资源 用 来 保存 一 些 敏 感 的 数据 ， 这 些 数据 (例如 密码 ) 
往往 不 希望 别 的 用 户 看 到 ， 但 是 在 启动 某 个 资源 (例如 Pod) 的 时 候 需 
要 提供 。 通 过 把 敏感 数据 放 到 Secret 里 面 ， 用 户 只 需要 提供 Secret 的 别 
名 即 可 使 用 。 


例如 ， 我 们 希望 通过 环境 变量 传递 用 户 名 和 密码 信息 到 一 个 Pod 
rho 


目 完 ， 将 用 户 名 和 密码 使 用 base64 进 行 编码 : 


$ echo "admin" | base64 
YWRtaW4K 

$ echo "admin_pass" | base64 
YWRtaWb5fcGFzcwo- 


编写 一 个 Secret 的 对 象 模板 ， 添 加 前 面 的 base64 编 码 数 据 : 


apiVersion: v1 

kind: Secret 

metadata: 
name: test secret 

type: Opaque 

data: 
password: YWRtaWb5fcGFzcwo- 
username: YWRtaWAK 


通过 kubectl 创 建 秘密 数据 对 象 test_secret: 


$ kubectl create -f ./secret.yaml 
secret "test secret" created 


通过 环境 变量 在 Pod 中 使 用 秘密 数据 : 


apiVersion: v1 
kind: Pod 
metadata: 
name: secret-test-pod 
spec: 
containers: 
- name: test-container 
image: nginx 
env: 
- name: SECRET USERNAME 
valueFrom: 


secretKeyRef: 
name: test secret 
key: username 

- name: SECRET PASSWORD 
valueFrom: 

secretKeyRef: 
name: test secret 
key: password 

restartPolicy: Never 


在 对 应 容器 (secret-test-pod.test-container) 内 ， 通 过 环境 变量 
$SECRET_USERNAME 和 $SECRET_ PASSWORD 即 可 获取 到 原始 的 用 
户 名 和 密码 信息 e 


此 外 ， 还 可 以 采用 数据 卷 的 方式 把 秘密 数据 的 值 以 文件 形式 放 到 
容 右 内 。 通 常 ， 秘 密 数 据 不 要 超过 1MB 。 


在 整个 过 程 中 ， 只 有 秘密 数据 的 所 有 人 和 最 终 运行 的 容 絮 (准确 
的 说 ， 和 需要 是 同一 个 服务 账号 下 面 的 ) 能 获取 原始 敏感 数据 ， 只 接触 
到 Pod 定义 模板 的 人 是 无 法 获取 到 的 。 


6.UID 和 名 字 (Name) 


Kubernetes 用 UID 和 名字 来 标识 对 象 。 其 中 ，UID 是 全 局 唯一 的 ， 
并 且 不 能 复 用 ， 而 名 字 则 仅仅 要 求 对 某 种 类 型 的 资源 (在 同一 个 命名 
空间 内 ) 内 是 唯一 的 ， 并 且 当 某 个 资源 移 除 后 ， 其 名 字 可 以 被 新 的 资 
源 复 用 。 


这 意味 着 ， 可 以 创建 一 个 Pod 对 象 ， 命 名 为 test， 同 样 可 以 创建 一 
个 复制 控制 器 ， 命 名 也 为 test。 一 般 名 字 字 符 串 的 长 度 不 要 超过 253 个 


7. 命 名 空间 (Namespace) 


命名 空间 用 来 隔离 不 同 用 户 的 资源 ， 类 似 租户 或 项 目的 概念 。 同 
一 个 命名 空间 内 资源 不 允许 重 名 ， 但 不 同 命名 空间 之 间 ， 人 允许 存在 重 
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用 户 在 创建 资源 的 时 候 可 以 通过 --namespace=<some_namespace> 来 
指定 所 属 的 命名 空间 。 


Kubernetes 集 群 局 动 后 ， 会 保留 两 个 特殊 的 命名 空间 : 


default: 资源 未 指定 命名 空间 情况 下 ， 默 认 属 于 该 空间 ; 


kube-system: 由 Kubernetes 系 统 目 身 创建 的 资源 。 


男 外 ， 大 部 分 资源 都 属于 某 个 命名 空间 ， 但 部 分 特殊 资源 ， 如 市 
点 、 持 久 存 储 等 不 属于 任何 命名 空间 。 


27.3 ”快速 体验 


目前 ，Kubenetes 支 持 在 多 种 环境 下 的 安装 ， 包 括 本 地 主机 (Fedora) 
云 服 务 (Google GAE、AWS 等 ) ， 但 最 快速 体验 Kubernetes 的 方式 显然 是 在 
本 地 通过 Docker 容 器 的 方式 来 快速 启动 相关 进程 。 


图 27-2 来 自 Kubernetes 官 方 ， 展 示 了 在 单 节 点 上 使 用 Docker 快 速 部 署 一 
套 Kubernetes 的 拓扑 。 


5 Master/Worker Node 


kubelet (e 


图 27-2 ”在 Docker 中 启动 Kubernetes 


1. 依 赖 镜像 
Kubernetes 通 过 Docker 容 器 方式 部 署 依 赖 的 镜像 包括 : 


:gcrio/google containers/hyperkube: 提供 所 有 的 Kubernetes 组 件 支 持 ; 


:gcr.io/google containers/etcd: 提供 Etcd 数 据 库存 储 ; 


“gcr.io/google_containers/pause: 一 个 轻 量 级 的 基础 设施 容器 (不 到 
1MB) ， 用 于 为 每 个 pod 提 前 创建 命名 空间 ， 其 他 什么 也 不 做 。 


2. 启 动 服务 


首先 ， 查 看 目前 gcrio/google_containers/hyperkube 可 选 版 本 信息 : 


$ curl -k -s -X GET https://gcr.io/v2/google containers/hyperkube-amd64/tags/ 
list | jq -r '.tags[]' 


v1.2.0 

v1.2.0 
v1.2.0-alpha.6 
v1.2.0-alpha.7 
v1.2.0-alpha.8 
v1.2.0-beta.0 
v1.2.0-beta.1 
v1.2.1-beta.0 
v1.3.0-alpha.0 


这 里 选用 较 新 的 稳定 版 本 v1.2.0。 


本 地 启动 etcd 服 务 ， 监 听 到 默认 的 4001 端 口 。 读 者 可 目 行 查阅 前 面 的 第 
22 章 。 也 可 以 使 用 容器 方式 快速 局 动 etcd 服 务 : 


$ docker run -d -p 4001:4001 gcr.io/google containers/etcd 


最 后 ， 可 以 通过 如 下 命令 来 一 次 性 部 署 并 启动 Kubernete 需 要 的 所 有 服 


务 : 


$ docker run \ 
--volume=/:/rootfs:ro \ 
--volume-/sys:/sys:ro \ 
--volume-/var/lib/docker/:/var/lib/docker:rw \ 
--volume-/var/lib/kubelet/:/var/lib/kubelet:rw \ 
--volume-/var/run:/var/run:rw N 
--net-host \ 
--pid-host \ 


--privileged-true \ 

-d \ 

gcr.io/google_containers/hyperkube-amd64:v1.2.0 \ 

/hyperkube kubelet \ 
--containerized \ 
--hostname-override="127.0.0.1" \ 
--address="0.0.0.0" N 
--api-servers=http://localhost:8080 \ 
--config=/etc/kubernetes/manifests \ 
--cluster-dns-10.0.0.10 \ 
--cluster-domain=cluster.local \ 
--allow-privileged=true --v=2 


执行 后 查看 本 地 实际 启动 容器 ， 包 括 5 个 容器 : 1 个 kubelet 容 器 和 1 个 主 


服务 Pod (包括 apiserver ^ scheduler 、controller-manager 和 pause) 


$ docker ps 

CONTAINER ID IMAGE 
COMMAND CREATED STATUS PORTS 
NAMES 

7960d23a6020 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube scheduler" 2 minutes ago Up 2 minutes 


k8s scheduler.eafafaf4 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48 
b2f9df36a2 0c4d9e51 

5d59975ec667 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube apiserver" 2 minutes ago Up 2 minutes 
k8s apiserver.ffci1af8 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48 
b2f9df36a2 8087ddee 

95644df5cc66 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube controlle" 2 minutes ago Up 2 minutes 
k8s controller-manager.672e021d k8s-master-127.0.0.1 default ba6eae9669ef0 
a03a0aa48b2f9df36a2 b767d196 

ce8ac7c6f23a gcr.io/google containers/pause:0.8.0 
"/pause" 2 minutes ago Up 2 minutes 
k8s POD.6d00e006 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48b2f9df 
36a2 affafO5b 

a063f246cd42 gcr.io/google containers/hyperkube-amd64:v1.2.0 
"/hyperkube kubelet -" 2 minutes ago Up 2 minutes 
gigantic kalam 


实际 上 ，Pod 中 的 各 个 容器 是 在 hyperkube-amd64: v1.2.0 镜 像 中 
的 /etc/kubernetes/manifests/master 文 件 指 定 的 ， 内 容 如 下 。 注 意 不 同 版 本 镜像 
的 文件 内 容 可 能 略 有 不 同 : 


{ 
"apiVersion": "v1", 
"kind": "Pod", 
"metadata": ("name":"k8s-master"), 
"spec":{ 
"hostNetwork": true, 
"containers":[ 


"name": "controller-manager", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 

"/hyperkube", 

"controller-manager", 

"--master-127.0.0.1:8080", 

Ways 


"name": "apiserver", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 
"/hyperkube", 
"apiserver", 
"--service-cluster-ip-range-10.0.0.1/24", 
"--address-127.0.0.1", 
"--etcd-serverschttp://127.0.0.1:4001", 
"--cluster-name-kubernetes", 
"L -yz2" 


"name": "scheduler", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 

"/hyperkube", 

"scheduler", 

"--master-127.0.0.1:8080", 

Wu aye" 


3. 测 试 状态 


此 时 ， 在 主机 访问 本 地 访问 8080 端 口 ， 将 获取 到 文 持 的 部 分 API 列 表 : 


$ curl localhost:8080 


"paths": [ 
"/api", 
"/api/v1", 
"/apis", 
"/apis/extensions", 
"/apis/extensions/vibeta1", 
"/healthz", 
"/healthz/ping", 
"/logs/", 
"/metrics", 
"/resetMetrics", 
"/swagger -ui/", 
"/swaggerapi/", 
"/ui/", 
"/version" 


例如 ， 可 以 碍 看 版 本 信息 : 


$ curl localhost:8080/version 


{ "major": ui ELS 
"minor": "n 
"gitVersion": "v1.2.0", 
"gitCommit": "5cb86ee022267586db386f62781338b0483733b3", 
"gitTreeState": "clean" 
H 


通过 /api/v1 可 以 获取 支持 的 API 资 


$ curl localhost:8080/api/vi 


"kind": "APIResourceList", 
"groupVersion": "v1", 
"resources": [ 

{ H H 
"name": "bindings", 
"namespaced": true 

}, 

{ 

"name": "componentstatuses", 
"namespaced": true 

}, 

t H 
"name": "endpoints", 
"namespaced": true 

) 

i 
"name": "secrets", 
"namespaced": true 

) 

t H 
"name": "serviceaccounts", 
"namespaced": true 

à 

{ H 
"name": "services", 
"namespaced": true 

} 


AURA, 


例如 : 


用 户 还 可 以 进一步 通过 这 些 API 对 相关 资源 进 


行 CRUD 操 作 。 


当然 ， 除 了 API 方 式 之 外 ，Kubemetes 也 提供 了 现成 的 客户 端 操 作 命令 : 


kubectl， 将 在 后 面 27.6 节 进行 介绍 。 


274 ”安装 部 署 


Kubernetes 安 装 包 括 两 种 模式 ， 一 种 是 使 用 目 市 的 脚本 ， 男 一 种 是 
手动 进行 配置 。 


用 Kubernetes 本 地 手动 部 署 多 节点 情况 相对 复杂 ， 需 要 提前 理解 其 
基本 原理 和 各 个 组 件 。 
1. 使 用 脚本 安装 


Kubernetes 提 供 了 目 带 的 本 地 部 署 脚本 (支持 Ubuntu 14.04 LTS 系 
统 ) ， 其 中 包括 三 个 节点 : 一 个 Master+Node， 两 个 Node。 通 过 Flannel 
方案 作为 后 端 网 络 实现 。 


(1) 预 配置 


FUSE m bu x xxDockerflübridge-utils, Jf H.Master P A s 24 fe 
访问 到 外 网 下 载 必要 的 软件 包 ，Node 节 点 需要 有 启动 Pod 所 需要 的 
Docker 镜 像 。 


下 载 kubernetes 代 码 包 ， 并 切换 到 稳定 版 本 ， 如 release-1.2: 


$ git clone https://github.com/kubernetes/kubernetes.git --depth=1 
$ git checkout release-1.2 
$ cd kubernetes/cluster/ubuntu/ 


配置 信息 在 config-default.sh 文 件 中 。 
修改 下 面 一 行为 你 的 本 地 世上 点 的 实际 用 户 名 和 地 址 : 


export nodes=${nodes:-"vcap@10.10.103.250 vcap@10.10.103.162 vcap010.10.103.223") 


这 里 分 别 更 新 为 本 地 实际 市 点 地 址 : 


export nodes-$[nodes:-"ubuntuQ192.168.122.22 ubuntu@192.168.122.177 ubuntu@192. 
168.122.8"} 


修改 下 面 一 行为 你 需要 的 配置 角色 ，a 代 表 Master，i 代 表 Node， 会 
对 应 到 上 面 指定 的 服务 妖 列 表 : 


role=${role:-"ai i i"} 


用 户 可 以 目 行 配置 服务 使 用 的 集群 地 址 范围 ， 默 认为 
192.168.3.0/24: 


export SERVICE CLUSTER IP RANGE-192.168.3.0/24 


另外 ， 还 有 flannel 的 数据 网 地 址 范围 ， 默 认为 172.16.0.0/16: 


export FLANNEL NET-172.16.0.0/16 


(2) 开始 安装 


配置 完成 后 进入 上 层 的 kubernetes/clusterv 目 孙 ， 执 行 安 装 脚本 kube- 
up.sh ° 


该 脚本 会 自动 下 载 flannel、etcd、kubernetes 等 的 压缩 包 (下 载 过 程 
可 能 比较 慢 ， 推 荐 提前 下 载 好 ， 具 体 参 考 ubuntu/download-release.sh 肢 
) ， 然 后 对 各 个 节点 进行 配置 ， 最 后 对 启动 后 的 集群 进行 校 验 ， 确 
保安 装 成 功 : 


$ cd .. 

$ KUBERNETES PROVIDER-ubuntu ./kube-up.sh 
. Starting cluster using provider: ubuntu 
. calling verify-prereqs 

Identity added: /home/ubuntu/.ssh/id rsa (/home/ubuntu/.ssh/id rsa) 
. calling kube-up 

-/kubernetes/cluster/ubuntu -/kubernetes/cluster 

Prepare flannel 0.5.5 release ... 

Prepare etcd 2.2.1 release ... 

Prepare kubernetes 1.2.0 release ... 


Wrote config for ubuntu to /home/ubuntu/.kube/config 
. calling validate-cluster 
Found 3 node(s). 


NAME LABELS STATUS AGE 
192.168.122.177 kubernetes.io/hostname-192.168.122.177 Ready «invalid» 
192.168.122.22 kubernetes.io/hostname-192.168.122.22 Ready «invalid» 
192.168.122.8 kubernetes.io/hostname-192.168.122.8 Ready «invalid» 
Validate output: 

NAME STATUS MESSAGE ERROR 

controller-manager Healthy ok nil 

scheduler Healthy ok nil 

etcd-0 Healthy ["health": "true"? nil 


Cluster validation succeeded 
Done, listing cluster services: 
Kubernetes master is running at http://192.168.122.22:8080 


由 于 我 们 指定 了 KUBERNETES_PROVIDER=ubuntu， 该 脚本 实际 
上 调用 的 是 ubuntu 目 录 下 的 脚本 。 


部 署 成 功 后 ，kubeconfig 文 件 在 用 户 目 孙 下 的 .kube/config 中 ， 记 录 


了 集群 的 访问 信息 和 认证 信息 ， 例 如 : 


P3 


apiVersion: v1 
clusters: 
- cluster: 
insecure-skip-tls-verify: true 
server: http://192.168.122.22:8080 
name: ubuntu 
contexts: 
- context: 
cluster: ubuntu 
user: ubuntu 
name: ubuntu 
current-context: ubuntu 
kind: Config 
preferences: {} 
users: 
- name: ubuntu 
user: 
password: EFMXyRiUurQuLATB 
username: admin 


此 时 ， 可 以 通过 kubernetes/clusterubuntu/binaries 目 孙 下 的 kubect 客 
削 跟 集群 进行 交互 ， 例 如 : 


$ cd ubuntu/binaries 

$ ./kubectl version 

Client Version: version.Info(Major:"1", Minor:"2", GitVersion:"v1.2.0", GitCommit: 
"5cb86ee022267586db386f62781338b0483733b3", GitTreeState:"clean") 

Server Version: version.Info(Major:"1", Minor:"2", GitVersion:"vi1.2.0", GitCommit: 
"5cb86ee022267586db386f62781338b0483733b3", GitTreeState:"clean") 

$ ./kubectl get nodes 


NAME STATUS AGE 

192.168.122.177 Ready 26m 

192.168.122.22 Ready 1h 

192.168.122.8 Ready 25m 

$ ./kubectl get services 

NAME CLUSTER IP EXTERNAL IP PORT(S) SELECTOR AGE 
kubernetes 192.168.3.1 «none» 443/TCP «none» 1h 


该 目 孙 下 还 包括 集群 各 个 下 点 上 使 用 的 二 进 制 服务 文件 : 


$ tree . 


.| 一 kubect1[— master | | 一 etcd| | 一 etcdct1| | 一 flanneld| | kube- 


apiserver| I— kube-controller-manager | L— kube-scheduler — minion 
I— flanneld 
[— kubelet 
—— kube-proxy 


(3) Master 节 点 服务 


Master; (同时 也 是 Node 节 点 ) 上 服务 包括 kube-apiserver ` 


kube-scheduler ` kube-controller-manager ` kubelet 和 kube-proxy: 


$ $ ps aux|grep kube 

root 29960 0.6 3.5 388080 72356 ? Ssl 14:56 0:13 
/opt/bin/kube-apiserver --insecure-bind-address-0.0.0.0 --insecure-port-8080 
--etcd-servers-zhttp://127.0.0.1:4001 --logtostderr-true --service-cluster-ip- 
range-192.168.3.0/24 --admission-controlzNamespaceLlifecycle,LimitRanger, 
ServiceAccount,ResourceQuota, SecurityContextDeny --service-node-port-range- 
30000-32767 --advertise-address-192.168.122.22 --client-ca-file-/srv/ 
kubernetes/ca.crt --tls-cert-file-/srv/kubernetes/server.cert --tls- 
private-key-file-/srv/kubernetes/server.key 

root 29961 0.3 1.7 49276 34508 ? Ssl 14:56 0:07 
/opt/bin/kube-controller-manager --master-127.0.0.1:8080 --root-ca-file- 
/srv/kubernetes/ca.crt --service-account-private-key-file-/srv/kubernetes 
/server.key --logtostderr-true 


root 29962 0.0 1.1 34796 23484 ? Ssl 14:56 0:00 
/opt/bin/kube-scheduler --logtostderr-true --master-127.0.0.1:8080 
root 29978 0.4 2.0 459496 41172 ? Ssl 14:56 0:10 


/opt/bin/kubelet --hostname-override-192.168.122.22 --api-servers- 
http://192.168.122.22:8080 --logtostderr-true --cluster-dns-192.168.3.10 
--cluster-domain-zcluster.local --config- 

root 29981 0.0 0.9 29232 19428 ? Ssl 14:56 0:00 
/opt/bin/kube-proxy --hostname-override-192.168.122.22 --master- 
http://192.168.122.22:8080 --logtostderr-true 


(4) Node 节 点 服务 


Node 市 点 上 服务 则 简单 的 多 ， 包 括 kubelet 和 kube-proxy: 


$ ps aux|grep kube 

root 11347 0.5 2.1 418548 43352 ? Ssl 14:57 0:11 
/opt/bin/kubelet --hostname-override=192.168.122.177 --api-servers= 
http://192.168.122.22:8080 --logtostderr=true --cluster-dns=192.168.3.10 
--cluster-domain=cluster.local --config- 

root 11348 0.0 0.9 29232 19644 ? Ssl 14:57 0:00 
/opt/bin/kube-proxy --hostname-override=192.168.122.177 --master= 
http://192.168.122.22:8080 --logtostderr=true 


(5) 管理 脚本 


kubernetes/cluster 也 提供 了 其 他 方面 用 户 进行 操作 的 管理 脚本 ， 主 
要 包括 : 


:kube-up.sh 部 署 一 个 kubernetes 集 群 ; 
kube-down.sh 停 止 一 个 kubernetes 集 群 ; 
kubectLsh 通 过 kubect 命 令 来 对 集群 发 出 指令 ; 
kube-push.sh 升 级 一 个 已 有 的 集群 到 指定 版 本 ; 
Validate-cluster.sh 执 行 一 些 校 验 操作 ， 确 保 集群 启动 成 功 ; 
"get-kube-local.sh 快 速 部 署 一 个 单 节点 的 本 地 集群 。 

(6) 配置 DNS 


DNS 服务 在 Kubernetes 中 以 addon 形 式 存 在 ， 可 以 在 集群 启动 后 选 
择 汪 加 ， 以 Pod 形 式 运 行 在 集群 中 。Kubernetes 代 码 包 中 目 市 了 若干 
addon， 都 在 clustervaddons/ 目 未 下 ， 包 括 了 DNS、dashboard、 人 负载 均 


^ VA TP A 
衡 、 监 探 等 。 


配置 选项 仍然 在 kubernetes/clustevubuntu/config-default.sh 文 件 中 ， 
相关 配置 包括 ; 


# Optional: Install cluster DNS. 

ENABLE CLUSTER DNS-"$[KUBE ENABLE CLUSTER DNS:-truej" 

# DNS SERVER IP must be a IP in SERVICE CLUSTER IP RANGE 
DNS SERVER IP-$(DNS SERVER IP:-"192.168.3.10"] 

DNS DOMAIN-$[(DNS DOMAIN:-"cluster.local") 

DNS REPLICAS-$(DNS REPLICAS:-1) 
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则 ， 并 启动 一 个 skydns 的 Pod: 


Ht 


$ cd cluster/ubuntu 

$ KUBERNETES PROVIDER-ubuntu ./deployAddons.sh 
Creating kube-system namespace... 

namespace "kube-system" created 

The namespace 'kube-system' is successfully created. 
Deploying DNS on Kubernetes 

replicationcontroller "kube-dns-vi11" created 
service "kube-dns" created 

Kube-dns rc and service is successfully deployed. 
Creating Kubernetes Dashboard replicationController 
replicationcontroller "kubernetes-dashboard-v1.0.0" created 
Creating Kubernetes Dashboard service 

service "kubernetes-dashboard" created 


Node 上 实际 需要 依赖 的 Docker 镜 像 包括 
gcr.io/google containers/exechealthz: 1.0 ^ 
gcr.io/google containers/kube2sky: 1.14 ^ gcrio/google containers/etcd- 


amd64: 2.2.1 ^ gcr.io/google containers/pause: 2.0 ° 


一 次 创建 Pod 的 时 候 ， 如 果 本 地 没有 
gcrio/google containers/pause: 2.0 镜 像 ， 会 自动 下 载 。 如 果 出 现下 载 超 
时 间 题 ， 可 以 自行 搜索 镜像 tar 包 ， 通 过 docker load 命 令 来 添加 到 各 个 
Node 世 点 上 上。 建议 本 地 提 MAREA o 


(7) 配置 Web UI 


修改 配置 文件 kubernetes/cluster/ubuntu/config-default.sh， 相 关 配 置 
包括 : 


ENABLE_CLUSTER_UI="${KUBE_ENABLE_ CLUSTER_UI:-true}" 


同样 ， 更 新 配置 后 ， 执 行 如 下 命令 ， 会 自动 创建 默认 的 kube- 
system 命 名 空间 ， 并 启动 一 个 kubernetes-dashboard 的 Pod: 


$ cd cluster/ubuntu 
$ KUBERNETES PROVIDER-ubuntu ./deployAddons.sh 


实际 上 是 调用 如 下 命令 来 局 动 服务 : 


$ kubectl create -f cluster/addons/dashboard/dashboard-controller.yaml -- 
namespace- 
kube-system 
$ kubectl create -f cluster/addons/dashboard/dashboard-service.yaml --namespace- 
kube-system 


Node 上 依赖 的 Docker 镜 像 包 括 gcr.io/google_containers/kubernetes- 


dashboard-amd64: v1.0.0 ` gcr.io/google containers/pause: 2.0 ° 


dashboard 服 务 提供 了 一 个 人 简单 的 Web 管 理 界 面 ， 如 图 27-3 所 示 。 


B) kubernetes 


kube-dns-v11 View details dashboard-v1.0.0 
kBs-app: kube-dns ^ kubernetes.io/cluster-service: true 5s-dashboard 
version: v11 Edit pod count ler-service: true 

1 pod running Logs + Logs = 


Image Age Delete Age 

gcr.io/google cont.. /etcd-amd64:2.2.1 48 minutes »ard-amd64:v1.0.0 48 minutes 
Qcr.in/google cont... ers/kuba2sky:1.14 
gcr.io/google con...015-10-13-8c7218c 
Qcr.in/google cont...rs/exechealtnz:1.0 


internal endpoi Fxtemal endpoint 
kubernetes-dashb...be-system:80 TCP none 


Internal endpoint External endpoint 
kube-dns.kube-system:53 UDP none 
kube-rdns.kube-system:53 TCP 


[27-3 ”Kubernetes 的 Web 管 理 界面 


(8) 查看 相关 信息 


首先 ， 查 看 集群 的 信息 ， 显 示 API 服 务 地 址 和 启动 服务 的 地 址 : 


$ ./kubectl cluster-info 

Kubernetes master is running at http://192.168.122.22:8080 

KubeDNS is running at http://192.168.122.22:8080/api/v1/proxy/namespaces/kube - 
System/services/kube-dns 

kubernetes-dashboard is running at http://192.168.122.22:8080/api/V1/proxy 
/namespaces/kube-system/services/kubernetes-dashboard 


查看 启动 的 服务 列表 ， 可 见 dns 和 dashboard 服 务 分 别 被 分 配 了 一 个 
虚拟 的 ClusterIP: 192.168.3.10 和 192.168.3.231: 


$ ./kubectl get services --namespace=kube-system 

NAME CLUSTER- IP EXTERNAL - IP PORT(S) AGE 
kube-dns 192.168.3.10 «none» 53/UDP, 53/TCP 3m 
kubernetes-dashboard 192.168.3.231 «none» 80/TCP 3m 


可 以 进一步 用 如 下 命令 获取 各 个 Pod 的 详细 信息 : 


$ ./kubectl get pods --namespace-kube-system -0 json 


在 Pod 所 在 的 Node 世 点 上 ， 可 以 查看 iptables 规 则 ， 


查看 访问 对 应 服 


务 的 流量 被 映射 到 相应 端口 。 例 如 访问 dashboard 服 务 的 ClusterIP 
192.168.3.231:80， 最 终 被 映射 到 了 Pod 地 址 172.16.72.2:9090: 


$ sudo iptables -nvL -t nat 


Chain KUBE-SEP-2NKLTCPMR5LPTJA4 
pkts bytes target prot opt 
0 © KUBE-MARK-MASQ all 

/* kube-system/kube-dns:dns-tcp 
0 © DNAT tcp 

/* kube-system/kube-dns:dns-tcp 
Chain KUBE-SEP-5TZPVMQGISGQSOMF 
pkts bytes target prot opt 
0 © KUBE-MARK-MASQ all 

/* default/kubernetes:https */ 
0 © DNAT tcp 


(1 references) 


in out source 

-- * * 172.16.75.2 
*/ 

-- 0 * i 0.0.0.0/0 


*/ tcp to:172.16.75.2:53 
(1 references) 


in out source 
"E * 192.168.122.22 
"— * 0.0.0.0/0 


/* default/kubernetes:https 


*/ tcp to:192.168.122.22:6443 


Chain KUBE-SEP-ORBWFLXGZDSJPSIA (1 references) 


pkts bytes target prot opt in out source 
0 9 KUBE-MARK-MASQ all -- * i 
/* kube-system/kubernetes-dashboard: */ 
0 9 DNAT tcp -- * * 


Chain KUBE-SEP-RZ3OQFEV4V6Q3AN2 (1 references) 


pkts bytes target prot opt in out source 
0 9 KUBE-MARK-MASQ all -- * D 
/* kube-system/kube-dns:dns */ 
0 9 DNAT udp -- * * 


/* kube-system/kube-dns:dns */ udp to:172.16.75.2:53 
Chain KUBE-SERVICES (2 references) 


pkts bytes target prot opt in out source 

0 © KUBE-SVC-NPXA46MAPTMTKRN6Y tcp -- * 

192.168.3.1 /* default/kubernetes:https cluster IP */ tep 
0 © KUBE-SVC-TCOU7JCQXEZGVUNU udp -- * 

192.168.3.10 /* kube-system/kube-dns:dns cluster ID udp 
0 © KUBE-SVC-ERIFXISQEP7F70F4 tcp -- * 

192.168.3.10 /* kube-system/kube-dns:dns-tcp cluster IP */ 
0 © KUBE-SVC-XGLOHA7QRQ3V22RZ tcp -- * 

192.168.3.231 /* kube-system/kubernetes-dashboard: 
0 9 KUBE-NODEPORTS all -- * s 0.0.0.0/0 


172.16.72.2 
0.0.0.0/0 

/* kube-system/kubernetes-dashboard: */ tcp to:172.16.72.2:9090 
172.16.75.2 


0.0.0.0/0 


destination 
0.0.0.0/0 


0.0.0.0/0 


destination 
0.0.0.0/0 


0.0.0.0/0 


destination 
0.0.0.0/0 


0.0.0.0/0 


destination 
0.0.0.0/0 


0.0.0.0/0 


destination 
.0.0/0 
dpt:443 
.0.0/0 

dpt:53 
.0.0/0 

tcp dpt:53 


.0.0.0/0 
cluster IP */ tcp dpt:80 


0.0.0.0/0 


/* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ 


AD 
DRTYPE match dst-type LOCAL 
Chain KUBE-SVC-ERIFXISQEP7F70F4 (1 references) 
pkts bytes target prot opt in out source 
0 9 KUBE-SEP-2NKLTCPMRBLPTJA4 all -- * 
0.0.0.0/0 /* kube-system/kube-dns:dns-tcp */ 
Chain KUBE-SVC-NPX46MAPTMTKRN6Y (1 references) 
pkts bytes target prot opt in out source 
0 9 KUBE-SEP-5TZPVMQGISGQSOMF all -- * 
0.0.0.0/0 /* default/kubernetes:https */ 
Chain KUBE-SVC-TCOU7JCQXEZGVUNU (1 references) 
pkts bytes target prot opt in out source 
0 © KUBE-SEP-RZ3OQFEVAV6Q3AN2 all -- * 


destination 


0.0.0.0/0 


destination 


0.0.0.0/0 


destination 


0.0.0.0/0 


0.0.0.0/0 /* kube-system/kube-dns:dns */ 
Chain KUBE-SVC-XGLOHA7QRQ3V22RZ (1 references) 


pkts bytes target prot opt in out source destination 
0 © KUBE-SEP-OR5WFLXGZDSJPSIA all -- * d 0.0.0.0/0 
0.0.0.0/0 /* kube-system/kubernetes-dashboard: */ 


2. 手 动 本 地 配置 


如 果 要 在 本 地 手动 安装 ， 需 要 对 环境 进行 一 系列 自 定 义 的 配置 。 
实践 中 不 推荐 大 家 目 定 安装 ， 但 通过 了 解 这 个 过 程 可 以 加 深 对 
Kubernetes 各 个 组 件 功能 的 理解 o 


(1) Node 节 点 配置 


首先 ， 要 取消 Docker-Engine 对 本 地 的 网 络 接管 ， 删 除 默 认 的 
docker0 网 桥 : 


$ sudo iptables -t nat -F 
$ ifconfig dockerg down 
$ brctl delbr dockero 


另外 ， 在 Docker 服 务 中 修改 默认 的 网 桥 信 息 ， 如 果 使 用 VXLAN 这 
样 的 overlay 方 案 ， 还 需要 修改 MTU: 


DOCKER_OPTS=" -H tcp://127.0.0.1:4243 -H unix:///var/run/docker.sock --bip- 
172.16.21.1/24 --mtu-1450" 


(2 下 载 组 件 文件 


Kubernetes 也 提供 了 Linux 平 台 上 预 编 译 好 的 各 个 组 件 文件 ， 方 便 
搭建 本 地 集群 。 


从 github.com/kubernetes/kubernetes/releases/latest 下 载 编 译 好 的 二 进 
制 执行 包 kubernetes.tar.gz， 并 人 解压。 这 里 以 1.2.0 版 本 为 例 ， 其 他 版 本 需 
要 替换 地 址 中 版 本 号 为 对 应 版 本 号 。 


对 应 操作 如 下 : 


$ curl -L https://github.com/kubernetes/kubernetes/releases/download/v1.2.0/ 
kubernetes.tar.gz » kubernetes.tar.gz 
$ tar xzvf kubernetes.tar.gz 


解压 后 ， 进 入 kubernetes/server/ 子 目 孙 下 ， 并 解压 Kubernetes-server- 
linux-amd64.targz 文 件 ， 查 看 其 子 目 未 kubernetes/serverbin 下 的 文件 : 


$ cd kubernetes/server/ && tar xzvf kubernetes-server-linux-amd64.tar.gz 
$ ls kubernetes/server/bin 


hyperkube kube-apiserver.tar 

kube-controller-manager.tar  kube-proxy kube-scheduler.tar 
kube-apiserver kube-controller-manager 

kubect1l kube- scheduler linkcheck 
kube-apiserver.docker tag  kube-controller-manager.docker tag 

kubelet kube-scheduler.docker tag 


可 以 看 到 ， 核 心 组 件 的 执行 文件 都 在 这 里 了 。 其 中 ，hyperkube 将 
所 有 的 组 件 打包 在 了 一 起 ， 可 以 通过 子 命令 来 指定 作为 某 个 组 件 运 
行 。 例 如 


$ hyperkube kubelet ... 


等 价 于 直接 运行 了 kubelet 组 件 。 


(3) Master 节 点 


N 


H2t2kRU E Master D 5, EZE ffetcd ` kube-apiserver ` kube- 
As 


scheduler、kube-controller-manager 等 。 用 户 也 可 以 启动 其 他 组 件 。 


1) 本 地 局 动 etcd 服 务 ， 监 听 到 默认 的 4001 病 口 。 读 者 可 目 行 查 阅 
前 面 的 第 22 章 。 


$ etcd 


2) kube-apiserver 配 置 ， 通 过 下 面 命令 启动 一 个 kube-apiserver， 监 


; M 


听 在 本 地 的 非 安全 端口 10.0.100.88: 8080。 该 命令 没有 启用 安全 端口 ， 
所 以 可 能 会 有 警告 信息 ， 这 里 暂时 忽略 : 


$ kube-apiserver --service-cluster-ip-range-10.0.0.1/24 


--etcd-servers- 
http://127.0.0.1:4001 --insecure-bind-address-10.0.100.88 


此 时 ， 从 其 他 节点 应 该 可 以 通过 http:/10.0.100.88:8080 地 址 访问 到 
API 列 表 信息 。 


3) kube-scheduler 配 置 ， 只 需要 指定 Master 的 API 监 听 地 址 : 


$ kube-scheduler --master-10.0.100.88:8080 --address-10.0.100.88 


4) kube-controller-manager 配 置 ， 只 需要 指定 Master 的 API 监 听 地 
址 : 


$ kube-controller-manager --master-10.0.100.88:8080 --address-10.0.100.88 


(4) Node 节 点 
Node 攻 点 要 人 简单 得 多 ， 主 要 包括 kubelet 和 kube-proxy 两 个 组 件 。 


用 下 面 命令 可 以 局 动 kubelet: 


$ sudo kubelet --address="0.0.0.0" --api-servers-http://10.0.100.88:8080 -- 
configure-cbrO-true 


此 时 ， 可 以 通过 API 查 看 到 注册 上 来 的 Node 廊 态 了 : 


$ kubectl -s 10.0.100.88:8080 get nodes 
NAME LABELS STATUS 
host-99 kubernetes.io/hostname-host-99 Ready 


用 下 面 命 令 可 以 局 动 kube-proxy: 


$ sudo kube-proxy --master=10.0.100.88:8080 


27.5 ”重要 组 件 


如 果 现 在 从 头 设计 一 套 容器 集群 管理 平台 ， 可 能 不 同人 最 终 设计 
出 来 的 方案 是 不 相同 的 ， 但 相信 大 部 分 都 能 想到 如 下 几 个 方面 的 需 
x. 


要 采用 分 布 式 架构 ， 剑 证 民 好 的 可 扩展 性 ; 


-控制 平面 要 实现 逻辑 上 的 集中 ， 数 据 平 面 要 实现 物理 上 的 分 布 ; 


“得 有 一 套 资源 调度 系统 ， 人 负责 所 有 的 资源 调度 工作 ， 要 容易 插 
H; 


.对 资源 对 象 要 进行 抽象 ， 所 有 资源 要 能 实现 高 可 用 性 。 


Kubermnetes 中 的 节点 包括 两 种 类 型 Master T A f aH, Node 
点 负责 干 活 ， 各 目 义 通过 若干 组 件 组 合 来 实现 。 


Master 闻 点 上 组 件 主 要 有 Etcd ` apiserver ^ scheduler ` controller- 
manager， 以 及 ui、DNS 等 可 选 插件 : 


Etcd: 作为 数据 库 ， 存 放 所 有 集群 相关 的 数据 ; 


kube-apiserver: Kubernetes 系 统 的 对 外 接口 ， 提 供 RESTful API 供 
客户 端 和 其 他 组 件 调 用 ， 文 持 水 平 扩展 。 


-kube-scheduler: 负责 对 资源 进行 调度 ， 有 具体 负责 分 配 某 个 请 求 的 
Pod 到 某 个 节点 上 


-kube-controller-manager: 对 不 同 资源 的 管理 如 ， 包 括 节 点 管理 


d EBEISs ^ HROS PES: ^ DOREIÉs. 


kube-ui: 目 市 的 一 套用 来 得 看 集群 状态 的 Web 界 面 ; 


DNS: 记录 局 动 的 容 需 组 和 服务 地 址 ; 


其 他 组 件 : 包括 容器 资源 使 用 监控 、 日 志 记 录 、setup 脚 本 等 。 这 
些 组 件 可 以 任意 部 署 在 相同 或 者 不 同 机 器 上 ， 只 要 可 以 通过 标准 的 
HTTP 接 口 相 互 访问 到 即 可 ， 这 意味 着 对 Kubemetes 的 管理 组 件 进行 扩 


Node 贡 点 上 主要 包括 kubelet、kube-proxy、 容 器 引擎 和 一 些 辅助 组 
ff: 


'kubelet: Bi EX-EXÉBJ LTETUBR, RIRS HAMA RH 
的 生命 周期 管理 ; 


kube-proxy: 代理 对 抽象 的 应 用 地 址 的 访问 ， 负 责 配 置 正确 的 转发 
规则 ; 


AIRE: 本 地 的 容 希 依赖 ， 目 前 文 持 Docker 和 rkt; 


.辅助 组 件 : supervisord 用 来 保持 kubelet 和 docker 进 程 运行 ，fluentd 
用 来 转发 Ex JON = 


下 面 分 别 介绍 这 些 组 件 的 作用 和 基本 用 法 。 


Ifl Eted 


Kubernetes 依 赖 Etcd 数 据 库 服务 来 记录 所 有 节点 和 资源 的 状态 。 可 
以 说 ，Etcd 是 Kubernetes 集 群 中 最 重要 的 组 件 。apiserver 的 大 量 功 能 都 
是 通过 跟 Ftcd 进 行 交 互 来 实现 。 关 于 Etcd 数 据 库 的 详细 信息 ， 请 参考 之 
前 的 第 22 章 。 


27.5.2  kube-apiserver 


作为 REST API 服 务 端 ，kube-apiserver 接 收 来 自 客户 端 和 其 他 组 件 
的 请 求 ， 更 新 Etcd 中 的 数据 ， 是 响应 对 API 资 源 操作 的 最 前 端 组 件 。 一 
般 推 荐 部 署 多 个 kube-apiserver 来 提高 可 用 性 。 


可 以 通过 kube-apiserver-h 命 令 查看 服务 端 文 持 的 参数 选项 ， 其 中 比 
较 重 要 的 配置 选项 参见 表 27-1。 


表 27-1 kube-apiserver 配 置 选 项 


选 项 说 明 


--advert-se-address= 其 他 成 员 可 以 访问 apiserver 的 地 址 ， 积 认 跟 --bind-address 相同 
--allow-privileged[-false: JET TSVTA r BURPDUBUR 


提供 服务 的 端口 ， 包 括 --read-only-port 和 --secure-port ports, 


--bind-address-z0.0.0.0 Sox xc 
默认 是 0.0.0.0 


--cert-Gir-"/var/run/kubernetes" 启用 了 TLS HF. E.P E 
--cluscer-name-"kubernetes" 集群 别名 

a ny etcd 2E P le E XP, PR -eted-servers 只 能 同时 使 用 一 个 
--etcd-prefix="/registry" eted HH FERET di (5 E TH Pt EA 

--etcd-servers=[] etcd 服务 地 址 ER --etcd-config 只 能 同时 使 用 一 个 
--insecure-bind-address-127.0.0.1 JE EMH E Hb HE 

--insecure-port-8080 l1 F2z 4H M AE, — AMETS Se ECCE 92 2638 n TT 
--kubelet-port-10250 kubelet 端口 

--master-service-namespace- "default"| master 服务 处 理 Pod 的 默认 命名 空间 
--max-connection-bytes-per-sec-0 对 连接 进行 了 哄 速 

--max-requests-inflight-400 最 大 正在 处 理 的 请 求 数 ， 超 过 则 对 新 到 请 求 拒 络 
--profiling[-true] 是 否 启用 profiling 功能 ， 在 hostport/debug/pprof/ 显示 调试 信息 
--secure-port-6443 安全 端口 ， 启用 了 TIS 认证 ; 
--service-c.uster-ip-range- 服务 虚 地 址 (Cluster IP) 的 网 段 , 不 要 跟 物 理 地 址 冲突 
--tls-cert-file-"" x509 证 书 文件 

--tls-pr:vate-key-file-"" x509 私 钥 文 件 ， 需 要 跟 -—tls-cert-file 匹配 


27.5.3 kube-scheduler 


Pod ° 


kube-scheduler 是 以 插件 形式 存在 的 ， 支 持 各 种 复杂 的 调度 策略 ， 


确保 Kubernetes 集 群 服务 的 性 能 和 高 可 用 性 。kube-scheduler 在 调度 上 考 


虑 服务 质量 、 软 硬件 限制 、〈 抗 ) 亲 和 性 (affinity) 、locality、 工 作 
负载 交互 等 多 个 方面 。 


可 以 通过 kube-scheduler-h 命 令 查 看 支持 的 参数 选项 ， 其 中 比较 重 
要 的 配置 选项 参见 表 27-2。 


表 27-2 ”kube-scheduler 配 置 选 项 


选 项 说 RB 
--address-127.0.0.1 服务 监听 地 址 
--algorithm-provider="DefaultProvider" 调度 算法 ， 目 前 支持 DefaultProvider 
--alsologtostderr[-false] 日 志 打 印 到 文件 的 同时 ， 打印 到 标准 销 误 输出 

bind-pods-burst-100 每 秒 钟 最 多 突 发 处 理 的 绑 定 操作 
--bind-pods-qos-50 每 秒 钟 最 多 持续 处 理 的 绑 定 操作 
--kubeconfig-"" kuheconfig 文件 路 径 。 包 拓 Master 位 置 和 认证 信息 
—— Master 的 API 地 址 ， 会 覆盖 kubeconfig 文件 中 
可 能 的 指定 
--policy-config-file-"" 调度 策略 (policy) 配置 文件 
--port-10251 服务 监听 端口 


是 否 启 用 pzcfiling， K lr fg host:port/ 


--profi:ling[-true] 
B a debua/pbproaf/ 


27.5.4  kube-controller-manager 


提供 控制 絮 服 务 ， 监 视 集群 的 状态 ， 一 旦 不 满足 状态 则 采取 操 
作 ， 让 状态 恢复 正 第 ， 管 见 的 控制 侨 包 括 : 


复制 (replication) 控制 器 : 确保 指定 Pod 同 时 存在 指定 数目 的 实 
ffi; 


-端点 (endpoint) 控制 器 : 负责 Endpoints 对 象 的 创建 ， 更 新 ; 


A (Node) 控制 器 : 


.服务 账户 (ServiceAccounts) 控制 器 : 管理 命名 空 
确保 默认 账户 存在 于 每 个 正常 的 命名 空 


ServiceAccount, 


可 以 通 
比较 重要 的 配置 选 


人 负责 市 点 的 发 现 ， 


管理 和 监控 ; 


啊 应 对 命名 空间 的 操作 ， 如 创 


XR] FP BS 


il kube-controller-manager-h ft 


见 表 27-3 ° 


SRP e 


令 查 看 文 持 的 参数 选项 ， 其 中 


表 27-3 ”kube-controller-manager 配 置 选 项 


选 Ix 
--address-127.0.0.1 
--alloca-e-node-cicrs[-false] 
--cluster-cidr- 
--cluster-namez"kubernetes" 


--concurrent-encpoint-syncs-5 


说 明 
MEE KE WEAH 
ARCH BIA 3535. If TP 地 址 范围 
Pod IP 地 址 的 CIDR 范围 
fcit F 


端点 同步 的 并 行 操作 数 日 ， 越 多 性 能 越 好 ， 也 越 占 CPU 


concurrent-namespace-syncs-2 命名 空间 同步 的 并 行 操 作 数目 , 越 多 性 能 越 好 ， 也 越 占 CPU 
--concurrent-resource-cuota- ` — . 
资源 配额 回 步 的 并 行 操 作 数 目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 


syncs-5 


--concurrent-rc-5ync3-5 

--deleting-pods-burst--0 

--deleting-pods-qps-0.' 

--deployment-controller-sync- 
period-30s 

--kubeconf:gz"" 


--master-"" 


复制 控制 器 同步 的 并 行 操 作 数 目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 
节点 发 生 故 障 时 ， 则 时 突 发 删除 Pod 的 节点 效 


节点 发 生 故 障 压 ， 每 秒 钟 删除 Pod 的 市 点 数 
同步 部 车 的 时 间 间 隐 


kubeconfig 文件 路 径 


Kubernete API 服务 地 址 ， 如 果 kubeconlig 中 给 定 MEM 


--node-monitor-period-5s 
--port-10252 


--resource-quo-a-sync-period-10s 


NodeController 同步 节点 状态 的 时 间 问 隔 
服务 监 昕 端口 


资源 配额 同步 的 时 间 间 隔 


27.5.5  kubelet 


kubelet 是 Node 节 点 上 最 重要 的 工作 程序 ， 它 是 负责 具体 干 活 的 ， 
将 给 定 的 Pod 运 行 在 自己 负责 的 节点 上 。 


如 果 kubelet 出 现 故 障 ， 则 Kubernetes 将 用 人 工 使 该 Node 变 得 不 可 
用 。 因 此 ， 在 生产 环节 中 推荐 对 kubelet 进 程 进行 监控 ， 并 通过 诸如 
supervisord 这 样 的 软件 来 及 时 重启 故障 的 进程 。 


另外 ， 一 般 要 通过 --system-reserved 和 --kube-reserved 参 数 为 系统 和 
Kubernetes 组 件 预 留 出 运行 资源 ， 避 人 免 耗 尽 后 让 广 点 挂 挥 。 


可 以 通过 kubelet-h 命 令 查 看 支持 的 参数 选项 ， 其 中 比较 重要 的 配置 
项 见 表 27-4。 


表 27-4 ”kubelet 配 置 选 项 


选 项 说 RA 
--address-0.0.0.0 服务 鉴 听 地 吉 : 
--allow-privileged[-false: Ie ff fo VT AE RIR privileged 权限 
--api-servers-[] Kubernetes API 服务 的 监 昕 地 址 人 州 表 
--boo--id-f-le-"/proc/sys/kernel/random/ boot iddBk 


boct id" 


--cadvisor-port-4194 如 果 启 用 了 cadvisor, [Nt Er AE IH 


s 


选 项 说 RA 
--cert-dir="/var/run/kubernetes" WARA MTA TLS 证 书目 录 
--cluster-dns= 集群 使 用 的 DNS 服务 器 ， 配 置 后 会 添加 到 容器 
--cluster-domains"" 搜索 域 ， 配 置 后 会 添加 到 容器 
--configzs"" 配置 文件 路 径 
--configure-cbr0 [=false] 是 否 配 置 默 认 的 cbr0 网 桥 
--container-runtime="docker" 容器 引擎 ， 可 以 为 "docker'4， 'rkt' 
--containerized[*false] 运行 kubelet 自身 在 一 个 容器 里 
--cpu-cfs-quota[*false] 是 否 支 持 对 容 融 CPU 的 CFS 配额 限制 
-~-docker="unix:///var/run/docker.sock" Docker 服务 访问 路 径 
--docker-roots"/var/lib/docker" Docker 状态 根 目 录 
--docker-runs"/var/run/docker" Docker 运行 时 目录 
--healthz-bind-addresss127.0.0.1 healthz 服务 监听 地 址 
--healthz-ports10248 healthz 服务 监听 端口 
--image-gc-high-threshold-90 触发 对 镜像 进行 垃圾 回收 时 候 的 硬盘 使 用 率 
--image-gc-low-threshold-80 低 于 该 值 ， 则 不 对 镜像 进行 垃圾 回收 
--kube-api-burst=10 调用 apiserver 的 峰值 上 限 
--kube-api-qps=5 调用 apiserver 的 平均 值 上 限 
--kubeconfigs"/var/lib/kubelet/kubeconfig" kubeconfig 配置 文件 路 径 
--kube-reserveds"" 系统 为 Kubernetes 组 件 的 运行 预 留 出 来 的 资源 
--max-open-files=1000000 kubelet 进程 最 大 打开 的 文件 数 
--max-pods*40 最 多 运行 的 Pod 数目 
--maximum-dead-containers=100 保留 处 于 dead 状态 的 容器 全 局 上 限 
--network-plugin="" 网 络 插件 
-- - in-dirs"/usr/libexec/ 

Nini ud UE " 网 络 插件 搜索 路 径 
--node-ips"" 节点 IP 地 址 ; 
--node-labelss"" 给 节点 打上 标签 ; 
--node-status-update-frequencys10s Z In Master 汇报 一 次 节点 状态 
--port=10250 服务 监听 端口 
--root-dirs"/var/lib/kubelet" kubelet 管理 文件 目录 
--system-reserveds"" 为 系统 预 留 出 一 定 资源 ， 避 免 节点 资源 耗 尽 


27.5.6 kube-proxy 


kube-proxy 会 监听 在 每 一 个 Node 节 点 上 ， 人 负责 把 对 应 服务 端口 来 的 
通信 映射 给 后 端 对 应 的 Pod。 人 简单 的 说 ， 它 既是 一 个 NAT (ATCP 
UDP) ， 同 时 也 有 负载 均衡 (目前 仅 支持 TCP) 的 功能 


例如 ， 服 务 test-service 定 义 服 务 端口 为 80， 实 际 映 射 到 大 量 Pod 的 


8080 端 口上 : 


"kind": "Service", 
"apiVersion": "v1", 
"metadata": { 

"name": "test-service" 


}, 
"spec": ( 
"selector": ( 
"app" : "webapp" 
3 
"ports": [ 
{ 
"protocol": "TCP", 


"port": 860, 
"targetPort": 8080 


则 kube-proxy 会 自动 配置 本 地 的 iptables rales 规 则 ， 一 旦 有 网 包 
(client) 想 访 问 服务 的 80 端 口 ， 将 到 达 的 网 包 转 发 到 某 个 绑 定 Pod 的 
8080 端 口 。 在 1.2.0 版 本 开始 ，kube-proxy 已 经 默认 完全 通过 iptables 来 配 

置 对 应 的 NAT 转 发 过 程 ， 自 喘 不 表 参 与 转发 过 程 ， 如 图 27-4 所 示 。 
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Backend Pod #3 
label: app=webapp 
port: 8080 

8080 


Backend Pod #1 
label: app=webapp 
port: 8080 


8080 


| 
| 
| 
' qunm rr mm me 
d kube-proxy 1 dptables rules | 
t |o Cluster IP.— ; 
LU LI LI 
' Iw "wi 


Backend Pod #2 
label: app=webapp 
port: 8080 


8080 


Kubernetes API Server 


Client 


图 27-4 ”kube-proxy 运 行 机 制 


kube-proxy 默 认 采 用 轮 询 的 负载 均衡 算法 ， 并 且 文 持 亲 和 性 。 例 如 
如 果 配 置 service.spec.sessionAffinity 为 ClientIP， 则 同一 个 客户 端 发 过 来 
的 多 个 请 求 会 转发 给 同一 个 后 端的 Pod， 傈 证 了 会 话 一 致 性 。 具 体 实 现 
上 ， 在 早期 版 本 中 采用 用 户 态 的 程序 来 转发 ， 现 在 已 经 逐渐 转换 到 基 
于 Linux Iptables 的 更 高 效 转发 机 制 。 


可 以 通过 kube-proxy-h 命 令 查 看 文 持 的 参数 选项 ， 其 中 比较 重要 的 
配置 选项 参见 表 27-5。 


表 27-5 ”kube-proxy 配 置 选 项 


选 项 
--bind-address-0.0.0.0 
--cleasnup-ipc-ables[-false] 
--healthz-binc-address-127.0.0.- 
--healthz-port-10249 
--ipte&bles-sync-period-30s 


--kubeconfig-"" 


说 — HH 


Wiss d Vr Hn 

清除 所 有 的 iptables 规则 然后 退出 
健康 检查 服务 监 忻 地 由 

健康 检查 服务 监 古 端口 


刷新 iptables 规则 的 时 间 
kubeconfig 文件 所 在 路 径 


--masquerace-all[-fa-se] 


--master-"" 
nn 


--proxy-moce- 


--proxy-port-range- 


--resource-container-"/kube-proxy" 


--udp-timeocu--250mns 


如 果 用 纯 iptab-es 的 转发 ， 对 所 有 流量 者 做 NAT 
Kubernetes API 服 务 地 址 : 
代理 的 斋 式 ， 包 括 旧版 本 的 'userspace' Aka EU 


的 "iptsbles' 横 式 〈 目 1.2.0 开 始 默认 局 贞 ) 


Node 节点 上 上 代理 服务 端口 的 范围 ， 黑 认为 所 有 
资源 容器 名 
UDP 连 接 认 为 打开 的 超时 ， 仅 当 使 用 proxy-mode= 


userspace 时 生效 


27.6 ”使 用 kubectl 


kubectlzéKubernetes E TE Hz 3g, AA TX] Kubernetes APIS] 
用 ， 可 以 用 它 直 接 通过 高 级 命令 跟 Kubernetes 集 群 进行 便捷 的 交互 。 掌 
握 了 kubect 命 令 ， 束 掌握 了 对 Kubernetes 集 群 进行 使 用 和 管理 的 绝 大 部 
分 操作 。 


27.6.1 ”获取 kubectl 


kubectl 在 发 行 版 的 二 进 制 包 中 市 有 ， 位 于 
kubernetes/server/kubernetes/server/bin/ 目 好 下 。 用 户 也 可 以 自行 下 载 编 
译 好 的 文件 使 用 。 


例如 下 载 1.2.0 版 本 的 kubectl， 可 以 用 下 面 的 命令 。 其 他 版 本 注意 
修改 URL 中 的 版 本 信息 : 


$ wget http://storage.googleapis.com/kubernetes-release/release/v1.2.0/bin/ 
linux/amd64/kubectl 


27.6.2 ”命令 格式 


可 以 通过 kubectl help[subcommand] 命 令 查 看 命令 格式 和 支持 的 子 


使 用 的 主要 格 却 为 : 


kubectl [global-flags] [subcommand] [RESOURCE TYPE] [NAME...] 


flags...] 


[subcommand- 


其 中 ，subcommand 为 要 执行 的 动作 ， 如 get、describe ` create ^ 
delete 等 ，NAME 为 某 个 资源 类 型 下 面 的 若干 对 象 名 称 。 


RESOURCE_TYPE 为 要 操作 的 资源 的 类 型 ， 见 表 27-6 ° 


表 27-6 ”kubectl 命 令 资源 类 型 说 明 


类 型 


1 
componentstatuses|cs 
daemonsets |ds 


deployments 

events|ev 

endpoints|ep 
horizontalpodautoscalers|hpa 
ingresses|ing 

jobs 

limitranges limits 

nades |ne 

namespaces |ns 


pods | po 


行 


说 明 
组 件 状态 
daemon 集 ， 保 证 一 个 应 用 每 个 节点 上 运行 同样 的 Pod， 并 且 只 运 
" 个 
部 署 
事件 
服务 端点 


Pod 白 动 扩展 器 

7 层 服 务 访问 入 口 

任务 ,确保 上 成功 完成 的 Pod 达到 其 个 数目 
限制 的 范围 

Node 节点 

diri es 


Pod 资源 


persiscentvolumes|pv 持久 化 存储 卷 
persis-entvolumeclaims|pvc 持久 化 存储 卷 声 明 
replicationcontroller|re 复制 控制 带 
resourcequotas|quota 资源 的 配额 
secrets Abe 
serviceaccounuts 服务 的 账户 
services svc 服务 


RI 


通过 kubectl 可 以 对 了 这些 


除 、 修 改 、 查 看 等 操作 。 


源 进行 生命 周期 管理 ， 包 括 创 建 、 删 


27.6.3 ”全 局 参数 


这 些 参数 主要 是 配置 命令 执行 的 环境 信息 ， 可 以 在 执行 具体 子 命 
令 时 候 使 用 ， 参 见 表 27-7。 


表 27-7 kubectl 全 局 参数 


x Wm 
日 志 信 息 同时 输出 到 标准 错误 输出 和 文件 
--log-backtrace-at-:0 Nie 
来 追踪 调用 栈 
ESTEE 
日 志 相 关 --log-flush-frequency-5s 执行 日 志 消 息 刷 新 的 间隔 


--logtostderr-true 日 志 信 息 输 出 到 标准 错误 输出 ， 不 输出 到 文件 
z- 级 的 日 志 信息 输出 到 标准 错误 输出 
TTTET 
对 日 志 进行 过 滤 时 的 模式 设置 


( 线 ) 


x 型 | Sw | LEES 


--certizicate-authority-"" CA 认证 的 cert 文件 路 径 
--client-certif:ozte-z"" TLS 认证 时 候 需 要 的 客户 端 证 书 文件 
--client-key="" TLS 认证 时 候 需 要 的 客户 端 秘 钥 文 件 
认证 相关 GL MORENO ls-verify- 不 检查 服务 端的 TLS 证 书信 息 
--password-"" API 服务 端 采用 基本 认证 时 的 密 至 
--username-"" API 上 服务 端 采 用 基本 认证 时 的 用 户 名 
---Gken="n API 最 务 端 的 token 认 让 信息 
--api-version-"" 指定 API 版 森 
本 机 
--context-"" 当前 操作 的 集群 名 称 
--kxubeconfig-"" xubeconfig 文件 路 径 
其 他 配置 --match-server-version-false SE BBC ss SCA BE Pg o — $4 


的 全 空间 


-s, --server-" Kubernetes APT Hi 4f»; MY 3t lb Aldi LT 
--user-"" kubeconfig user 使 用 的 用 户 名 


--validate-false 发 送 请 求 前 是 否 先 在 客户 端 进行 校 验 


Get 

describe 
create 
replace|upca-e 
patch 

delete 


edit 

apply 

-ogs|log 
rolling-upca-e|rollingupdate 
scele 


cordon 


kubect1 子 命令 及 其 说 明 


说 明 

显示 给 定 资 源 的 信息 

显示 给 定 资源 (组 ) 的 详细 信息 

创建 一 个 资源 

替代 /更 新 一 个 资源 

更 新 一 个 资源 的 域 信息 ， 即 给 资源 打 补 丁 

删除 一 个 资源 

调用 本 地 编辑 器 ， 直 接 编辑 API 资源 ， 十 分 便利 的 功能 

应 用 配 千 到 给 定 资源 ， 资 源 如 果 不 存 在 会 白 动 创 建 。 可 以 用 来 修改 
资源 的 信息 

打印 一 个 Pod 中 某 个 容器 的 logs 信息 (docker logs 命令 输出 信息 ) 

对 某 个 复制 控制 器 进行 滚动 升级 ， 即 通过 每 次 仅 更 新 一 个 Pod 的 方 
式 来 平滑 的 过 渡 到 新 的 部 署 上 

对 某 个 复制 控制 器 的 份 数 进行 调整 

标 沁 一 个 节点 为 不 可 调度 状态 。 当 节点 出 现 故 障 时 候 ， 可 以 训 免 调 
度 资源 上 去 


e ^ 
an 令 

drain 

uncordon 

attach 

exec 


por--forward 


proxy 


run|run-containsr 


expose 


autoscale 


rollout 
label 
annotate 
config 


cluster-:afo 


(HE) 
说 明 

将 节点 资源 从 节点 上 迁移 出 去 Oll fe Pod， 并 不 可 调度 资源 )。 可 
以 用 于 在 对 节点 进行 维护 前 让 工作 资源 从 节点 上 调度 出 去 

恢复 节点 为 — &. E AAE LED RIK T 

止 附 到 某 个 E7 Docker [fJ attach 命令 

在 给 定 Pod EN 类 似 Docker 的 exec 指令 

映 英 本 地 端口 旬 Pod 

本 地 创建 一 个 访问 Kubernetes API 服务 的 代理 

运行 容器 (默认 在 后 台 )， 类 似 Docker 的 run -aS RUSH 
动 剑 建 一 个 部 署 或 者 任务 来 管理 创建 的 容 硕 

使 用 给 定 的 复制 控制 器 、Pod 或 者 服务 等 资源 的 选择 器 ， 发 布 为 新 
的 服务 

白 动 根据 需求 来 扩展 一 个 部 署 (或 复 蚀 控制 融 ) 中 的 Pod 数目 。 类 

以 AWS 中 自动 扩展 组 的 概念 

个 部 署 进行 操作 

= 个 资源 的 标签 信息 

自 更 新 一 个 资源 的 注解 信息 

修改 kubeconf'g 文件 

显示 一 个 集群 的 信息 。 包 括 API 服务 端 地 址 ,启动 的 服务 等 


api-vers:ons 
version 
explain 


conver- 


下 面 详细 介绍 音 


A 


显示 支持 的 API 版 本 信息 

打印 客户 端 和 服务 端的 版 本 信息 

显示 资源 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 
转换 配置 文告 到 其 他 API 版 本 


命令 格式 为 kubectl get[(-o|--output-)json|yaml|template|wide)|...] 


(RESOURCE[NAME]|RESOURCE/NAME...)[flags] ° 


文 持 的 参数 主要 包括 : 


--all-namespaces-false: 是 否 列 出 所 有 的 命名 空间 中 的 资源 ; 
-L, --abel-columns-[]: 通过 标签 来 过 小 显示 的 资源 ; 


-o, -output-"": 输出 信息 的 格式 ， 包 括 


json|yaml|template|templatefile|wide; 
l, --selector-"": 通过 selector 来 过 滤 输 出 ; 
-t, --template="": 模板 字符 串 或 golang 模 板 文件 路 径 ; 
-w, --watch-false: 持续 监测 输出 对 象 的 变化 。 
例如 ， 获 取 集 群 中 市 点 的 列表 : 


$ kubectl get nodes 
NAME LABELS STATUS 
127.0.0.1 kubernetes.io/hostname-127.0.0.1 Ready 


获取 集群 中 Pod 的 列表 : 
$ kubectl get pods 
NAME READY STATUS RESTARTS AGE 
k8s-master-127.0.0.1 3/3 Running 0 2d 
2.describe 


显示 给 定 资 源 CH) 的 详细 信息 。 


命令 格式 为 kubectl describe(RESOURCE 
NAME PREFIX[|RESOURCE/NAME)[flags] ° 


支持 的 参数 主要 有 : -1，--selector=""'， 通 过 selector 来 过 滤 输 出 。 例 
如 ， 仅 显示 带 有 name=myLabel 标 签 的 Pod: 


$ kubectl describe po -l namezmyLabel 


3.create 


创建 一 个 资源 。 
命令 格式 为 kubectl create-f FILENAME[flags] ° 


支持 的 参数 主要 有 -f，--filename=[]， 创 建 资源 的 模板 文件 所 在 的 
路 径 或 URL。 例如， 创建 一 个 test_pod.yml 文 件 ， 内 容 为 : 


apiVersion: v1 
kind: Pod 
metadata: 

name: nginx 

labels: 
name: nginx 

spec: 

containers: 

- name: nginx 
image: nginx 
ports: 

- containerPort: 80 


然后 执行 如 下 命令 创建 Pod 资 源 。 


$ kubectl create -f test pod.yml 
pods/nginx 


Qiz 


这 里 直接 操作 Pod 仅 为 了 演示 命令 ， 一 般 情 况 下 推荐 通过 复制 控制 
独 来 控 作 Pod ° 


查看 多 出 来 一 个 新 的 Pod: 


$ kubectl get pods 


NAME READY STATUS RESTARTS AGE 
k8s-master-127.0.0.1 3/3 Running 0 2d 
nginx 1/1 Running 9 7S 


通过 describe 命 令 来 得 看 具体 信息 ， 检 查 结 采 跟 模板 中 定义 一 致 : 


$ kubectl describe po -l name-nginx 


Name: nginx 
Namespace: default 
Image(s): nginx 
Node: 127.0.0.1/127.0.0.1 
Labels: name-nginx 
Status: Running 
Reason: 
Message: 
IP: 172.17.0.1 
Replication Controllers: «none» 
Containers: 
nginx: 
Image: nginx 
State: Running 
Started: Mon, 07 Mar 2016 11:04:52 +0800 

Ready: True 

Restart Count: 0 
Conditions : 

Type Status 

Ready True 
Events: 

FirstSeen LastSeen Count 
From SubobjectPath Reason 
Message 

Mon, 07 Mar 2016 11:04:51 +0800 Mon, 07 Mar 2016 11:04:51 +0800 1 
{scheduler } Scheduled 
Successfully assigned nginx to 127.0.0.1 

Mon, 07 Mar 2016 11:04:51 +0800 Mon, 07 Mar 2016 11:04:51 +0800 1 
[kubelet 127.0.0.1} implicitly required container POD Pulled 


Container image "gcr.io/google containers/pause:0.8.0" already present on machine 


Mon，07 Mar 2016 11:04:51 +0800 Mon, 07 Mar 2016 11:04:51 +0800 1 


[kubelet 127.0.0.1} implicitly required container POD Created 
Created with docker id 38680508227d 

Mon, 07 Mar 2016 11:04:52 +0800 Mon, 07 Mar 2016 11:04:52 +0800 1 
[kubelet 127.0.0.1} implicitly required container POD Started 
Started with docker id 38680508227d 

Mon, 07 Mar 2016 11:04:52 +0800 Mon, 07 Mar 2016 11:04:52 +0800 1 
[kubelet 127.0.0.1} spec.containers(nginxj Pulled 
Container image "nginx" already present on machine 

Mon, 07 Mar 2016 11:04:52 +0800 Mon, 07 Mar 2016 11:04:52 +0800 1 
[kubelet 127.0.0.1} spec.containers(nginx] Created 
Created with docker id 6fcb35ff2000 

Mon, 07 Mar 2016 11:04:52 +0800 Mon, 07 Mar 2016 11:04:52 +0800 1 
[kubelet 127.0.0.1} spec.containers(nginx] Started 


Started with docker id 6fcb35ff2000 


4.replace|update 

替代 /更 新 一 个 资源 。 

命令 格式 为 kubectl replace-fFILENAME[flags] ° 
支持 的 参数 主要 有 : 

-f, -filename-[]: 用 来 奉 代 资源 的 模板 文件 所 在 的 路 径 或 URL; 
—grace-period--1: 资源 平缓 终止 的 等 待 时 间 ; 

—force-false: 删除 并 重建 指定 资源 。 


例如 ， 用 户 可 以 修改 test_pod.yml 中 容器 镜像 后 ， 用 新 的 Pod 替 代 原 
来 Pod: 


$ kubectl replace -f test pod.yml 


5.patch 


更 新 一 个 资源 的 域 信 息 ， 即 给 资源 打 补 丁 。 
命令 格式 为 kubectl patch RESOURCE NAME-p PATCH[flags] ° 


支持 的 参数 主要 有 -p，--patch=""， 补 丁 内 容 。 例 如 ， 用 户 可 以 修 
改 一 个 和 点 的 spec 值 : 


$ kubectl patch node k8s-node-1 -p 'í["spec":í("unschedulable":true)]' 


6.delete 


命令 格式 为 kubectl delete([-£f FILENAME]I(RESOURCE[(NAME]|-l 
label|--all)][flags] ° 


文 持 的 参数 主要 有 : 
--all-false: 选取 所 有 指定 资源 ; 
-f, --filename-[]: 资源 模板 文件 所 在 的 路 径 或 URL; 


—grace-period--1: 资源 平缓 终止 的 等 每 时 间 ; 


--ignore-not-found-false: 忽略 没 找到 资源 情况 下 的 报警 信息 


:-]，--selector="": 通过 selector 来 过 滤 资 源 : 


€ 


—timeout-0: 等 行 超时 ，0 表 示 从 删除 对 象 的 大 小 来 计算 超时 。 
例如 ， 删 除 刚 创建 的 Pod: 

kubectl delete -f test-pod.yml 

7.edit 

调用 本 地 编辑 器 ， 直 接 编辑 API 资 源 ， 十 分 便利 的 功能 。 
命令 格式 为 kubectl edit(RESOURCE/NAME|-f FILENAME)[flags] ° 
支持 的 参数 主要 有 : 

-f, -filename-[]: 资源 模板 文件 所 在 路 径 、 目 隶 或 者 URL; 
-0，--output="yaml": 输出 资源 格式 ， 包 括 yamlljjson; 
—output-version-"": 输出 指定 版 本 的 API 资 源 ; 
---record[=false]: 记录 kubect 命 令 到 资源 的 注解 中 ， 
--save-config[-false]: 保存 配置 信息 到 资源 注解 中 ; 
--windows-line-endings[=false]: 使 用 Windows 格 式 的 换行 符 。 


8.apply 


应 用 配置 到 给 定 资源 ， 资 源 如 果 不 存在 会 自动 创建 。 可 以 用 来 修 
改 资源 的 信息 。 


命令 格式 为 kubectl apply-f FILENAME[flags] ° 

文 持 的 参数 主要 有 : 

-f, --filename-[]: 资源 模板 文件 所 在 路 笃 、 目 录 或 者 URL; 
-0，--output="": 输出 模式 ， 用 来 过 滤 输 出 信息 等 ; 
--record[-false]: 记录 kubectl 命 令 到 资源 的 注解 中 ; 
--schema-cache-dir-"-/.kube/schema": API 的 scheme 文 件 路 径 ; 
--validate[-true]: 执行 命令 前 是 否 使 用 scheme 对 输入 进行 校 验 。 
9.logs|log 


打印 一 个 Pod 中 某 个 容器 的 logs 信 息 (docker logs 命 令 的 输出 信 
E) 2 


命令 格式 为 kubectl logs[-f][-p]POD[-c CONTAINER][flags] ° 


文 持 的 参数 主要 有 : 


=c, —container-". 容器 名 称 ， 如 果 Pod 中 仅 有 一 个 容器 则 可 以 名 


.-f，--follow=false: 是 否 持续 跟踪 输出 信息 ， 类 似 tail 命 令 的 -f 选 


.--interactive=true: ERLA; 
-p, --previous-false: 输出 此 前 (已 停止 ) 容 器 实例 的 信息 。 
例如 ， 输 出 myPod 中 容器 test_container 的 logs 信 息 


$ kubectl logs myPod test container 


10.rolling-update|rollingupdate 


对 某 个 复制 控制 器 进行 滚动 升级 ， 即 通过 每 次 仅 更 新 一 个 Pod 的 方 
式 来 平滑 的 过 渡 到 新 的 部 署 上 。 

命令 格式 为 kubectl rolling-update 
OLD CONTROLLER NAME([NEW CONTROLLER NAME]-- 
image-NEW CONTAINER, IMAGE|-f NEW CONTROLLER, SPEC) 


[flags] ° 


文 持 的 参数 主要 有 : 


---deployment-label-key="deployment": 默认 用 于 进行 区 分 的 标签 ; 


—dry-run-false: 输出 模拟 执行 的 改动 ， 但 实际 上 不 执行 ; 


-f, --filename-"": 创建 靳 的 复制 控制 器 的 模板 文件 所 在 路 径 、 目 
杂 或 URL; 


-image=": 升级 使 用 的 新 的 容器 镜像 


-0, --output-"": 输出 格式 ， 包 括 


jsonlyaml|template|templatefile|wide; 
—--poll-interval2"3s": 检查 更 新 状态 的 时 间 间 隔 ; 
--rollback-false: 回 深 上 上 次 版 本 ; 
-t, --template="": golang 模 板 字 符 串 或 文件 路 径 ; 
--timeout-"5mOs": 超时 时 间 ; 


--update-period-"1mOs": 升级 多 个 Pod 的 时 间 间 隔 。 


例如 ， 更 新 rc-v1 复 制 控 制 器 为 rc-v2.json 中 定义 内 容 : 


$ kubectl rolling-update rc-vi -f rc-v2.json 


11.scale 


对 某 个 复制 控制 右 的 份 数 进行 调整 。 


命令 格式 为 kubectl scale[--resource-version=version][--current- 


replicas-count ]--replicasz COUNT(-f FILENAME|TYPE NAME)[flags]。 
文 持 的 参数 主要 有 : 


--current-replicas--1: 对 当前 的 复制 份 数 进行 检查 ， 匹 配 则 执行 


scale 命 令 ; 


-f, -filename-[]: 复制 控制 絮 的 模板 文件 所 在 路 人 径 、 目 录 或 
URL; 


-0, --output-"": 输出 格式 ; 
--replicas--1: 新 的 份 数 ， 必 有 备 项 ; 


.--Tesource-version="": 对 当前 的 资源 版 本 进行 检查 ， 匹 配 则 执行 


scale 命 令 ; 
--timeout-0: 命令 执行 超时 时 间 。 


12.cordon 


标记 一 个 市 点 为 不 可 调度 状态 。 当 市 点 出 现 故 障 时 候 ， 可 以 避免 
调度 资源 上 去 。 


命令 格式 为 kubectl cordon NODE[flags]。 


例如 让 节点 nl 不 可 调度 资源 : 


$ kubectl cordon n1 


13.drain 


将 市 点 资源 从 节点 上 迁移 出 去 (删除 挥 Pod， 并 不 可 调度 资源 ) 。 
可 以 用 于 在 对 市 点 进行 维护 前 让 工作 资源 从 方 点 上 调度 出 去 。 


命令 格式 为 kubectl drain NODE[flags] ° 
文 持 的 参数 主要 有 : 


---force[=false]: 删除 不 被 ReplicationController、Job 或 DaemonSet 管 
理 的 Pod 


—grace-period--1: 指定 允许 被 删除 Pod 平 组 退出 的 时 间 ; 
--ignore-daemonsets[-false]: 名 略 DaemonSet 所 管理 的 Pod。 
14.uncordon 

恢复 节点 为 可 调度 状态 ， 可 以 分 配 工作 负载 过 来 了 。 


命令 格式 为 kubectl uncordon NODE[flags] ° 


例如 让 市 点 n1 恢 复 到 可 调度 状态 : 
$ kubectl uncordon ni 
15.attach 
贴 附 到 某 个 容 右 上 ， 类 似 DockerH 的 attach 命 令 。 
命令 格式 为 kubectl attach POD-c CONTAINER[flags] ° 
文 持 的 参数 主要 有 : 
-c, --container-"": Pod 中 的 容 絮 名 ， 和 忽略 则 默认 为 第 一 个 ; 
-i, -stdin[-false]: 挂 载 当 前 的 标准 输入 到 容 妖 ; 
-t, --tty[7false]: 标准 输入 为 TTY 类 型 。 


16.exec 


在 给 定 Pod 中 执行 命令 ， 类 似 Docker 有 的 exec 指 令 。 
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命令 格式 为 kubectl exec POD[-c CONTAINER]--COMMAND[args…] 
[flags] ° 


文 持 的 参数 主要 有 : 


，--Container="": Pod 中 执行 命令 的 容器 名 称 ， 


-c 
^; 
-p, -pod-"": Pod 名 称 ; 
-ó, --stdin[-false]: 将 标准 输入 接 通 到 容 塘 ; 
-t, --tty[-false]: 标准 输入 是 TTY 类 型 。 
例如 ， 在 nginx Pod 中 打开 一 个 bash， 可 以 用 : 
$ kubectl exec -it nginx -- bash 


17.port-forward 


BRE Zt L1 [Pod 。 


命令 格式 为 kubectl port-forward 


POD[LOCAL PORT: |REMOTE PORIT... 


[LOCAL PORT N: ]JREMOTE PORT N][flags] ° 


支持 的 参数 主要 有 -p，--pod=""，Pod 和 名称。 


例如 ， 归 射 本 地 端口 8080 到 test_pod 的 80 病 口 : 


$ kubectl port-forward test pod 8080:80 


默认 会 选取 第 一 


18.proxy 
本 地 创建 一 个 访问 Kubernetes API 服 务 的 代理 。 


命令 格式 为 kubectl proxy[--port=PORT][--www=static-dir][--www- 


prefix-prefix |[--api-prefix-prefix][flags] ° 
文 持 的 参数 主要 有 : 


.--accept-hosts="Alocalhost$，A^127.0.0.1$，AWI[: : 1$": 允许 访问 
的 地 址 ， 正 则 表达 式 格 式 ; 


--accept-paths="A/.*": 人 允许 访问 的 路 径 ， 正 则 表达 式 格式 ; 
—--address-"127.0.0.1": 服务 的 IP 地 址 ; 
-api-prefix="/": 映射 API 到 指定 URL 路 径 下 ; 


.--disable-filter[=false]: 是 否 过 小 请 求 ， 打 开 该 选项 将 导致 安全 风 


-p, --port-8001: 代理 的 监听 端口 ， 默 认 将 随机 选取 ; 


---reject-methods="POST, PUT, PATCH": 拒绝 访问 的 HTTP 方 


法 ; 


--reject-paths-"^/api//exec, ^/api//run, ^/api/.*/attach": 拒绝 访问 
HERE 


-u, --unix-socket-'". "KITEE EUn ERF E; 


-w，--www="": 在 给 定 前 级 路 径 下 提供 静态 HTTP 服 务 ; 


-P, -www-prefix-"/static/": 静态 服务 的 资源 所 在 路 径 。 


19.run|run-container 


运行 容器 〈 默 认 在 后 台 ) ， 类 似 Docker 的 run-d 指 令 。 默 认 会 自动 
创建 一 个 部 署 或 者 任务 来 管理 创建 的 容器 。 


命令 格式 为 kubectl run NAME--image-image[--env-"key-value"][-- 
port-port][--replicas-replicas ][--dry-run-bool][--overrides-inline-json] 


[flags] ° 
文 持 的 参数 主要 有 : 


.--attach[=false]: 是 否 挂 载 到 运行 的 容 需 ; 
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--command[-false]: 如 果 配 置 该 选项 ，flag 作 为 运行 命 人 


—dry-run[-false]: 模拟 运行 过 程 ， 打 印 命令 ， 但 实际 上 不 执行 ; 


—env-[] 传递 给 容器 的 环境 变量 ; 


--generator-"": API 生 成 右 名 称 ， 指 定 --restart=Alwavys 情 况 下 默认 


为 run/v1 ， 否 则 为 run-pod/v1'; 


--hostport--1: 英 射 到 容 硕 端口 的 万 点 主机 端口 ; 


-—image-"": 要 运行 的 容 需 镜像 名 称 ; 

-l, -labels-"": 设置 Pod 的 标签 ; 

—--Jeave-stdin-open[-false]: 保持 标准 输入 挂 载 到 Pod; 

-limits-"": 容 句 的 资源 限制 ， 例 如 'cpu=200m，memory=512Mi'; 
--no-headers[-false]: 输出 不 打印 标题 栏 ; 


-0，--output="": 输出 格式 ， 可 以 为 jsonlyaml|widelnamelgo- 


template-...|go-template-file-...|jsonpath-...|jsonpath-file-...; 


--output-version-"": 按照 给 定 版 本 输出 格式 化 数据 ， 默 认为 api- 


version; 
--port--1: RASE HFAA mO ; 


-r, --replicas=1: 容器 复制 的 份 数 ， 默 认为 1; 


se IR 


--requests-"": 容 絮 请 求 的 资源 ， 例 如 'cpu=100m， 


memory-256Mi'; 


--restart-"Always": Pod 的 重启 策略 ， 可 以 为 Always (默认 值 ) ， 
OnFailure，Never。 如 果 是 'Always'， 则 目 动 创建 一 个 部 署 来 管理 Pod， 
否则 --replicas 必 须 设 为 1; 


a, --show-all[-false]: 打印 所 有 的 Pod， 包 括 已 经 终止 的 ; 
--Sort-by="": 按照 给 定 域 来 对 输出 结果 进行 排序 ; 
-i，--stdin[=false]: 保持 Pod 中 容器 的 标准 输入 处 于 打开 状态 ; 
—template-"": 使 用 的 模板 字符 上 串 或 文件 路 径 ; 


--tty[=false]: 为 Pod 中 的 每 一 个 容 怖 分 配 一 个 TTY 。 


例如 ， 局 动 nginx Pod， 并 通过 一 个 复制 控制 占 来 目 动 管 理 它 ， 你 
证 复制 为 2， 可 以 用 : 


$ kubectl run --image-nginx --replicas-2 nginx-app --port-80 -- 
env-"DOMAIN-cluster" 
replicationcontroller "nginx-app" created 


HER, uDELECEHBOSUGUEERUE titar, DRUERGZCH2 T Nginx Pod 


在 运行 。 


$ kubectl get rc 


CONTROLLER CONTAINER(S) IMAGE(S) SELECTOR REPLICAS AGE 
nginx-app nginx-app nginx run-nginx-app 2 «invalid» 
20.expose 


使 用 给 定 的 复制 控制 器、Pod 或 者 服务 等 资源 的 选择 器， 发 布 为 新 
的 服务 。 


命令 格式 为 kubectl expose(-f FILENAMEITYPE NAME)[--port=port] 
[--protocol- TCP|UDP |[--target-port-number-or-name |[ --name-name ][---- 


external-ip-external-ip-of-service][--type-type][flags] ° 
文 持 的 参数 主要 有 : 
--container-port-"": 等 价 于 --target-port， 指 定 Pod 的 端口 ; 
—dry-run[-false]: 模拟 输出 发 送 命令 ， 但 不 执行 ; 
--external-ip="": 指定 外 部 可 以 访问 服务 的 地 址 ; 
-f, -filename-[]: 资源 模板 文件 所 在 路 人 径 、 目 了 或 URL; 
--generator-"service/v2": 使 用 哪个 API 生 成 需 ; 


-l], --labels-"": 给 生成 服务 添加 标签; 


--load-balancer-ip-"": 绑 定 到 负载 均衡 硕 的 地 址 ， 不 指定 则 目 动 获 
取 生 成 (需要 外 部 平台 支持 ) ; 


.--name="": 创建 服务 的 名 称 ; 
--no-headers[-false]: 输出 不 打印 头 部 信息 ; 


-0，--output="": 输出 格式 ， 包 括 json|yaml|widelnamelgo- 


template=...|go-template-file=...jjsonpath=...|jsonpath-file=.… 等 ; 
--output-version-"": 输出 格式 化 对 象 依照 的 版 本 信息 : 
.--Overrides="": 禾 盖 生成 对 象 的 给 定 域 ; 
--port-"": 服务 端口 
--protocol-"TCP": 服务 监听 类 型 ; 
.--record[=false]: 记 孙 当前 kubectl 操 作为 服务 的 注解 信息 : 
--save-config[-false]: 保存 配置 为 服务 的 注解 信息 ; 


.--Selector="": 标签 选择 器 . 


--session-affinity-"": 指定 服务 的 会 话 的 关联 性 ， 可 以 
为 None' (简单 轮换 ) 或 'ClientIP' 〈 同 一 个 客户 端的 请 求 分 发 到 同一 个 


后 端 ) : 


-a, --show-all[-false]: 显示 所 有 资源 信息 ， 包 括 处 于 终止 状态 的 
Pod; 


-—show-labels[7false]: 显示 标签 信息 : 
--sort-by="": 指定 输出 的 排序 域 ; 


--target-port-"": Pod 上 的 端口 ， 不 给 定 则 默认 跟 服 务 端 口 相 同 ; 


-—template-"': 指定 使 用 模板 文件 时 ， 模 板 文件 的 路 径 ; 


--type-"ClusterIP": 服务 的 类 型 ， 包 括 ClusterIP、NodePort 或 


LoadBalancer ° 
例如 ， 将 某 个 Pod test-pod， 发 布 为 监听 在 80 端 口 的 Web 服 务 : 


$ kubectl expose pod test-pod --port=80 --name-web 


21.autoscale 


目 动 根据 需求 来 扩展 一 个 部 署 〈 或 复制 控制 器 ) 中 的 Pod 数 目 。 类 
似 AWS 中 上 自动 扩展 组 的 概念 。 


命令 格式 为 kubectl autoscale(-f FILENAME|TYPE 
NAMEITYPE/NAME)[--min=MINPODS]--max=MAXPODS[--cpu- 


percent-CPU |[flags] ° 


支持 的 参数 参见 前 一 小 节 的 expose 参 数 ， 部 分 参数 说 明 如 下 : 
--cpu-percent--1: 所 有 Pod 上 的 CPU 平 均 使 用 比例 ; 
---generator-"horizontalpodautoscaler/vlbetal": 指定 API 生 成 器 ; 
-max--1: 自动 扩展 Pod 的 上 限 值 ， 必 备 项 ; 

-—min--1: 目 动 扩展 Pod 的 下 限 值 ; 

—name-"". 自动 扩展 的 名 字 ， 默 认 采 用 操作 资源 的 名 字 。 
22.rollout 

对 一 个 部 署 进行 操作 。 


命令 格式 为 kubectl rollout SUBCOMMAND(TYPE 


NAMEITYPE/NAME)[flags]。 
文 持 的 子 命令 包括 : 
history: 查看 rollout 的 历史 记录 ; 
pause: 标记 给 定 资源 为 暂停 状态 ; 
resume: 继续 一 个 暂停 状态 的 资源 ; 


undo: 撤销 ， 回 到 之 前 的 rollout » 


参数 主要 为 -f+，--filename=[]， 资 源 模 板 文件 路 径 、 目 好 或 URL ° 


23.label 
EEG 一 个 资源 的 标签 F x 


命令 格式 为 kubectl label[--overwrite](-f FILENAME|TYPE 


NAME)KEY 1-VAL 1..KEY_N=VAL_N[--resource-version=version] 
[flags] ° 


N 


支持 的 参数 参见 前 面 expose 参 数 ， 部 分 参数 说 明 如 下 : 
--all[=false]: 选择 指定 类 型 的 所 有 资源 ; 
--overwrite[-false]: xd SLE LENS: 


--resource-versionz"": 检查 资源 县 本 信息 是 否 匹配 给 定 值 ， 不 匹 
配 则 拒绝 修改 ; 


:-]，--selector="": 标签 1 选择 器 。 


例如 ， 为 test_pod 资 源 添加 标签 release=beta ° 


$ kubectl label -f test pod.json release-beta 


24.annotate 


目 更 新 一 个 资源 的 注解 信息 。 
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命令 格式 为 kubectl annotate[--overwrite](-f FILENAME|TYPE 
NAME)KEY 1-VAL 1..KEY N-VAL N[--resource-version-version] 
[flags] ° 


文 持 的 参数 参见 前 面 的 expose 和 label 参 数 。 
25.config 

修改 kubeconfig 文 件 。 

命令 格式 为 kubectl config SUBCOMMAND[flags] ° 
文 持 子 命令 包括 : 

:current-context: 显示 当前 的 上 下 文 ; 

set-context: 配置 上 下 文 信息 ; 


-use-context: 切换 当前 上 下 文 到 指定 上 下 文 ; 


set-cluster: 配置 一 个 集群 的 信息 ， 名 字 不 存在 则 新 创建 ; 
set: 配置 kubeconfig 文 件 中 的 键 值 ; 


-unset: 取消 kubeconfig 文 件 中 的 键 值 ; 


view: 查看 kubeconfig 文 件 信 息 : 
“set-credentials: 配置 kubeconfig 文 件 中 的 用 户 认 证 信息 。 
支持 的 参数 主要 有 --kubeconfig=""， 指 定 kubeconfig 文 件 。 


26.explain 


显示 贸 源 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 。 
命令 格式 为 kubectl explain RESOURCE ° 

27.convert 

转换 配置 文件 到 其 他 API 版 本 。 

命令 格式 为 kubectl convert-f FILENAME[flag] ° 

支持 的 参数 参见 前 面 的 expose 的 参数 ， 部 分 参数 说 明 如 下 : 
--local[=true]: 不 跟 API 服 务 交 互 ， 仅 本 地 运行 ; 
--schema-cache-dir-"^/.kube/schema": API schemasPrE H 5x; 


--validate[-true]: 执行 命令 前 对 输入 进行 校 验 。 


27.7 网络 设 计 


网 络 对 于 集群 来 说 是 十 分 关键 的 功能 。Kubernetes 在 设计 上 考虑 了 
对 网 络 的 需求 和 模型 设计 ， 但 自身 并 没有 重新 实现 ， 而 是 可 以 另外 髓 
入 现 有 的 网 络 管理 方案 。 同 时 ，Kubernetes 试 图 通过 插件 化 的 形式 来 采 
用 AppC 提 出 的 Container Networking Interface (CNI) 规范 。 这 意味 着 ， 
将 来 所 有 支持 Kubermetes 的 网 络 插件 都 要 遵循 该 规范 。 


实际 上 ，CNI 的 模型 十 分 简洁 ，Kubernetes 只 需要 告诉 插件 ， 把 某 
个 Pod 挂 载 到 某 个 网 络 、 或 者 从 某 个 网 络 即 载 ， 其 他 工作 都 由 插件 来 完 
成 。Kubernetes 上 自身 不 需要 了 解 网 络 的 具体 细节 。 


对 于 Kubernetes 集 群 来 说 ， 一 般 要 考虑 如 下 四 种 通信 场景 : 


.Pod 内 (容器 之 间 ) : 因为 容器 共享 了 网 络 命名 空间 ， 可 以 通过 lo 
直接 通信 ， 无 需 额 外 文 持 ; 


Pod JH]: 又 分 在 同一 个 节点 上 和 在 不 同 节 点 上 ， 前 者 通过 本 地 网 
桥 通信 即 可 ， 后 者 需要 在 各 目 绑 定 的 网 桥 之 间 打通 ; 


-Pod 和 服务 之 间 : 因为 服务 是 虚拟 的 ClusterITP， 因 此 ， 需 要 节点 上 
配置 代理 机 制 (例如 基于 iptables) 来 映射 到 后 端的 Pod 。 


外 部 访问 服务 : 要 从 外 面 访问 服务 ， 必 须 经 过 负载 均衡 希 ， 通 过 
外 部 可 用 的 地 址 映射 到 内 部 的 服务 上 。 

其 实 Docker 默 认 采 用 iptables 实 现 NAT 的 方式 〈 后 来 也 文 持 overlay 
模式 ， 但 所 提出 的 CNM 规 范 未 被 Kubernetes 接 纳 ) 已 经 通过 借用 主机 地 
址 组 成 了 简单 的 网 络 。 但 Kubernetes 认 为 NAT 方 式 实现 跨 忆 点 通信 就 需 
要 占用 本 地 疹 口 映射 ， 这 会 给 服务 层面 的 访问 帘 来 麻烦 。 


Kubernetes 在 网 络 方面 的 设计 理念 包括 如 下 几 点 : 
.所 有 容器 之 间 不 使 用 NAT 就 可 以 互相 通信 
:所 有 节点 跟 容器 之 则 不 使 用 NAT 就 可 以 互相 通信 ; 


.容器 自己 看 到 的 地 址 ， 跟 其 他 人 访问 自己 使 用 的 地 址 应 该 是 一 样 
的 〈 其 实 还 是 在 说 不 要 有 NAT) 。 


可 以 看 到 ， 这 个 设计 理念 跟 云 平台 里 面 的 虚拟 机 网 络 十 分 类 似 ， 
这 意味 着 一 些 基于 虚拟 机 云 的 项 目 可 以 很 方便 地 迁移 到 Kubernetes 平 台 
E o 


要 实现 这 几 点 需求 ， 可 以 有 两 种 设计 思路 ， 直 接 路 由 和 Overlay 网 
络 ， 这 也 是 现在 云 计算 领域 常见 的 网 络 实现 方式 。 


1. 直 接 路 由 


这 种 思路 最 简单 ， 所 有 Pod 直 接 桑 露 在 物理 网 络 上 ， 大 家 彼此 地 址 
可 见 ， 不 能 有 地 址 冲突 ， 不 同 子 网 之 间 通 过 路 由 机 制 进行 三 层 转发 。 


此 时 ， 各 个 Node 上 会 创建 cbr0 网 桥 ， 并 且 需 要 在 开局 本 地 转发 文 


$ sysctl net.ipv4.ip forward-1 


另外 ， 配 置 Docker 服 务 的 默认 网 桥 ， 并 且 取 消 Docker 对 iptables 的 
目 动 修改 : 


DOCKER OPTS-"--bridge-cbrO --iptables-false --ip-masq-false" 


为 了 让 Pod 可 以 通过 Node 地 址 来 访问 外 网 〈 因 为 Pod 购 私有 数据 地 
址 是 无 法 路 由 到 外 部 的 ) ， 可 以 配置 SNAT: 


$ iptables -t nat -A POSTROUTING ! -d 10.0.0.0/8 -o ethO -j MASQUERADE 


这 种 实现 的 最 大 优势 古 简 洁 ， 可 以 直接 复 用 发 层 的 物理 设备 。 目 
前 ， 包 括 Google 的 GCE 和 微软 的 容 占 云 在 内 的 许多 实现 都 支持 这 种 模 
xis 


2.Overlay 网 络 


Overlay 网 络 相对 要 复杂 一 些 ， 文 持 底层 更 灵活 的 转发 。 目 前 包括 
Flannel、Open-VSwitch、Weave、Calico 等 一 系列 方案 都 能 实现 用 
Overlay 网 络 来 联通 不 同 节 点 上 的 Pod。 


以 Flannel 网 络 为 例 ， 提 前 为 各 个 Node 分 配 互 不 重合 的 子 网 ， 例 如 
将 完整 的 172.16.0.0/16 私 有 网 段 划 分 为 多 个 子 网 172.16.10.0/24、 
172.16.11.0/24......, 各 个 Node 上 的 Pod 分 配 网 络 地 址 的 时 候 只 能 从 这 个 
子 网 范围 内 分 配 ， 避 免 了 地 址 的 冲突 ， 如 图 27-5 所 示 。 


Pod 
172.16.10.3/24 


Pod Pod 
172.16.11.2/2 172.16.11.3/24 


|. 172.16.10.0/16 ， 
|. flanneld 
LI 


:.172.16.11.0/16. ; 
， flanneld 
' 


物理 网 络 


图 27-5 “Kubernetes 使 用 Flannel 网 络 


所 有 Pod 都 挂 载 到 docker0 网 桥 上 ， 网 桥 的 内 部 接口 (docker0) 作 
为 子 网 网 关 接 口 。 


同时 ， 在 各 个 Node 上 创建 网 络 接口 (如 图 中 的 flannel.1) ， 该 接口 
分 配子 网 的 0 号 地 址 ， 负 和 贡 处 理 往 其 他 和 点 发 送 的 网 包 。 当 docker0 收 到 
目标 地 址 为 其 他 市 点 上 Pod 的 网 包 时 ， 根 据 路 由 表 会 护 到 flannel.1 接 
门 ， 由 flanneld 进 程 进行 封 汉 ， 通 过 隧道 发 送 到 对 应 市 点 上 进行 解 寺 


以 左边 世 点 为 例 ， 本 地 路 由 表 为 : 


$ route -en 
Kernel IP routing table 


Destination Gateway Genmask Flags MSS Window irtt Iface 
0.0.0.0 192.168.122.1 0.0.0.0 UG 00 © ethO 
172.16.0.0 0.0.0.0 255.255.0.0 U 00 © flannel.1 
172.16.10.0 0.0.0.0 255.255.255.0 U 00 © dockerg 
191.167.121.1 0.0.0.0 255.255.255.0 U 00 © ethO 


27.8 本章 小 结 


本 章 介绍 了 Kubernetes 系 统 的 设计 、 核 心 概念 、 主 要 组 件 ， 以 及 


常见 操作 和 网 络 模型 。 通 过 这 些 知 识 ， 相 信 读 者 对 于 Kubernetes 的 功 
能 有 了 直观 认识 ， 并 可 以 利用 它 来 搭建 目 己 的 容 絮 云 平台 。 


虽然 Kubernetes 目 身 并 没有 提出 PaaSs 或 者 DevOps 的 理念 ， 但 它 提 
供 的 资源 抽象 接口 和 生命 周期 管理 ， 让 用 户 可 以 很 方便 的 进行 二 次 开 
发 o 


实际 上 ，Kubernetes 目 身 很 好 地 展现 了 一 套 高 效 的 分 布 式 系统 该 
如 何 设计 ， 以 及 为 了 满足 业务 需求 如 何 把 握 架 构 。 推 荐 感 兴趣 的 读者 


H 
JSZN 


进一步 查看 Kubernetes 的 源码 实现 ， 可 以 更 深入 地 探知 其 技术 细 广 。 


第 28 章 ”其 他 相关 项 目 


Docker 虽 然 属 于 新 兴 技术 ， 但 围绕 它 已 经 出 现 了 不 少 优秀 的 技术 
项 目 ， 包 括 利 用 Docker 进 行 云 计算 平台 搭建 ， 特 别 是 实现 平台 即 服 
务 ， 利 用 Docker 来 实现 高 效 的 持续 集成 服务 ， 以 及 对 大 规模 Docker 容 
如 的 管理 和 进行 编程 开发 等 。 


本 章 将 介绍 这 方面 的 一 些 典 型 项 目 ， 包 括 平台 即 服 务 、 持 续集 


成 、 容 絮 管 理 、 编 程 开 发 、 网 络 文 持 、 日 志 处 理 、 服 务 代 理 、 标 准 与 


28.1 平台 即 服 务 方案 


PaaS (Platform as a Service， 平 台 即 服务 ) 是 希望 提供 一 个 统一 的 
操作 系统 平台 环境 ， 让 所 有 软件 直接 运行 在 它 上 面 ， 而 无 需 复 洒 配 
置 。Docker 天 生 的 应 用 封装 特性 为 实现 PaaS 提 供 了 某 种 便利 。 这 里 介 
绍 儿 个 基于 Docker 相 关 技 术 的 PaaS 项 目 。 


28.1.1 Deis 


Deis 项 目 官方 网 站 为 http://deis.io， 代 码 在 
https://github.com/deis/deis 维 扩 ° 


Deis 是 开源 的 PaaS 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 
议 。 由 OpDemand 公 司 在 2013 年 7 月 发 起 ， 目 前 还 处 于 开发 阶段 。 
OpDemand 公 司 提供 对 Deis 的 两 业 服务 支持 。 


Deis 试 图 提供 轻 量 级 的 PaaS 实 现 ， 为 用 户 提供 简单 的 应 用 管理 和 
部 署 。Deis 基 于 Docker 项 目 和 CoreOS 项 目 ， 通 过 简单 的 git push 命 令 即 
可 部 署 应 用 ， 加 速 集成 和 部 署 过 程 ， 还 文 持 对 应 用 容器 通过 单条 命令 
进行 扩展 。 


在 架构 设计 上 ，Deis 整 合 了 一 系列 Docker 容 器， 可 以 部 署 到 公有 
云 、 私 有 云 ， 以 及 本 地 环境 中 ， 并 提供 了 完整 的 测试 、 诊 断 的 工具 。 


28.1.2 Flynn 


Flynn 项 目 官方 网 站 为 http:/flynn.io， 代 码 在 
https://github.com/flynn/flynn 维 护 。 


Flynn 项 目 由 一 个 创业 团队 在 2013 年 7 月 发 起 ， 基 于 Go 语言 开发 ， 
目前 还 处 于 beta 版 阶段 。Flynn 项 目的 发 起 也 是 由 于 一 些 部 署 实 践 问 
题 : 在 部 署 SOA (Service Oriented Architecture， 是 大 规模 分 布 式 系统 
常 采用 的 架构 风格 ， 需 要 功能 组 件 之 间 的 松 耦 合 ) 产品 至 公有 云 的 过 
程 中 ， 往 往 需要 人 工 部 署 和 维护 大 量 不 同 功能 部 件 。 


Flynn 基 于 Heroku 项 目 (H。 它 受到 Omege 概 念 来自 剑桥 大 学 、 加 
州 伯克利 大 学 和 Google 公 司 合作 的 《Omega: flexible, scalable 
schedulers for large compute clusters》 论 文 ) 的 局 发，Flynn 不 仅 能 完成 
人 简单 可 控 的 部 署 ， 还 能 进行 目 由 的 扩展 ， 并 提供 数据 库 管理 等 功能 。 
Flynn 可 以 方便 的 实现 一 套 比较 理想 的 PaaS 方 案 。 

在 设计 上 ，Flynn 项 目 尽 量 保 持 API 红 动 和 模块 化 ， 以 便 模 块 支持 


不 同 的 实现 方案 。 底 层 (layer 0) 实现 一 套 文 持 服务 发 现 的 资源 管理 
框架 ， 上 层 (layer 1) 实现 适合 部 署 和 维护 的 应 用 组 件 。 


目前 ，Flynn 项 目 已 经 获得 了 Shopify 等 公司 的 文 持 。 


[1] Heroku 是 一 个 支持 多 种 编程 语言 (f Ruby ` Java ` Node.js ` 
Scala、Clojure、Python 以 及 PHP 和 Perl 等 ) 的 云 平 台 即 服务 实现 。 在 
2010 年 被 Salesforce.com 收 购 。 


28.2 ”持续 集成 平台 Drone 


目前 ，Drone 项 目 利 用 Docker 技 术 ， 实 现 持 续集 成 (Continuous 


Integration) 平台 服务 。 


Drone 项 目 官方 网 站 为 http://drone.io， 代 码 在 


https://github.com/drone/drone 维 护 。 


Drone 是 开源 的 开源 持续 集成 平台 项 目 ， 基 于 Go 语言 实现 ， 遵 循 
Apache 2.0 协 议 。 该 项 目 最 初 由 Drone 公 司 在 2014 年 2 月 发 起 ， 目 前 还 处 
于 开发 阶段 。Drone 公 司 基于 它 ， 提 供 文 持 Github、Bitbucket 和 Google 
Code 等 第 三 方 代码 托管 平台 的 持续 集成 服务 。 


Drone 基 于 Docker 和 AUFS 实 现 ， 为 用 户 提供 基于 网 站 的 操作 。 


登录 网 站 后 ， 可 以 选择 源码 的 存放 服务 ， 如 图 28-1 所 示 。 


drone.iO beta Dashboard Doc - | Now Project Logout 


Repository Setup 


wo 


Github Bitbucket Google Code 


图 28-1 选择 源码 的 存放 服务 


此 处 选择 Github 服 务 ， 然 后 从 仓库 列表 中 选择 项 目 ， 如 图 28-2 所 


7N ° 


drone.iO beta ashboar Account New prot ioga 


g Repository Setup 


bradrydzewski / routes 


https://github.com/bradrydzewski/routes 


bradrydzewski / blog.drone.io 
https://github.com/bradrydzewski/blog.drone.io 


bradrydzewski / buddy & 


https:;//github.com/bradrydzewski/buddy 


bradrydzewski / jkl & 
https://github.com/bradrydzewski/jkl 


图 28-2 ”从 仓库 列表 中 选择 项 目 


配置 项 目的 语言 种 类 ， 如 网 28-3 所 示 。 


drone.iO beta ishboar A New Project Logout 


hello-world 


https://bitbucket.com/brydzewski/hello-world Project Setup 


Node.js (Beta) PHP (Beta) Python (Beta) Ruby (Beta) 


Groovy (Beta) Scala (Beta) c/ce 


图 28-3 ”配置 项 目的 语言 种 类 


接 下 来 ， 检查 创建 命 
整 ， 如 图 28-4 所 示 。 


令 是 否 正 确 ， 并 根据 具体 情况 进行 调 


drone.iO beta 


[ [ Accout New Project Logout 
hello-world 
https://bitbucket.com/brydzewski/hello-world 


Setup your Build Script 


Project Setup 
Your checkout directory is /hane/ubuntu/src/bit ucket.com/brydzewski /hel la-world 


| npm -d install 
npm test 


Enter one command per line (ex: echo foo) 


Save » 


图 28-4 ”检查 和 配置 创建 命令 


最 后 ， 项 目 就 可 以 在 Drone 平 台 上 进 


行 持 续集 
Ptz * 


成 管理 了 ， 如 图 28-5 


drone.iO beta 


hello-world 
https://bitbucket.com/brydzewski/hello-world History Dosnisads Settings 


Build & Test Build Now Kickoff a build request. Use for testing when you change your build script. 
MEAM Make sure to actually save changes first (Save is at the bottom). 
Deployments 
La 
Notifications u-— 
Node 0.8 


Artifacts 
Databases 


Status Badges E MySQL 
Ej PostgreSQL 


Repository more ... 


Members Commands 


working directory | /home/ubuntu/src/bitbucket . com/brydzewski /hello-world 


npm -d install 
npm test 


Docker 对 单个 容 亏 操作 已 经 提供 了 功能 强大 的 命令 行 操作 和 API 操 
作 接 口 ， 但 是 缺乏 同时 对 多 个 容器 〈 特 别 是 容器 集群 ) 进行 管理 的 方 
案 ， 男 外 还 忠 乏 图 形 界 面 的 管理 平台 。 


目前 ， 已 经 有 硅 干 开源 项 目 试 图 实现 更 为 强大 和 便捷 的 Docker 管 
理工 具 ， 包 括 Citadel、Shipyard、DockerUI、Panamax 等 。 


28.3.1 Citadel 


Citadel 项 目 官方 网 站 为 http://citadeltoolkit.org， 代 码 在 
https://github.com/citadel/citadel 维 护 。 


Citadel 项 目 于 2014 年 4 月 由 Citadel 团 队 正 式 推出 ， 基 于 Go 语言 实 
现 ， 目 标 是 提供 一 套 在 由 Docker 容 器 构 成 的 集群 中 对 容器 进行 调度 的 
工具 ， 主 要 包括 集群 管理 组 件 和 调度 组 件 。 


集群 管理 组 件 (Cluster Manager) 负责 管理 集群 的 状态 ， 通 过 调 
用 Docker 提 供 的 API 来 连接 到 主机 ， 管 理 容 器 。 


-调度 组 件 (Scheduler) 决策 如 何 进行 调度 ， 支 持 多 套 调度 方法 ， 
包括 基于 标签 、 基 于 是 否 同一 镜像 、 基 于 主机 、 组 合 方法 等 多 种 调度 
机 制 。 


使 用 Citadel 首 先 要 为 调度 组 件 提供 容器 类 型 ， 并 指定 调度 所 关心 
的 资源 限制 ， 此 后 ， 调 度 器 会 根据 容器 类 型 、 服 务 将 容器 启动 到 合适 
HJzENL EZ © 


28.3.2 Shipyard 


Shipyard 项 目 官方 网 站 为 http://shipyard-project.com/， 代 码 在 


https://github.com/shipyard/shipyard 维 护 。 


Shipyard 项 目 于 2013 年 11 月 发 起 ， 它 目前 基于 Citadel 项 目 (部 分 开 
发 者 来 目 同一 团队 ) ， 布 望 提供 一 套 对 Docker 集 群 中 资源 进行 管理 的 
TR, €X Docker fit ` EHLE PREE o ERKE RETEA 
心 部 件 之 外 还 支持 扩展 镜像 ， 可 以 根据 需求 灵活 实现 应 用 负载 均衡 、 
集中 日 志 管 理 和 自动 化 部 署 等 功能 。 


此 外 ，Shipyard 还 提供 了 方便 用 户 使 用 的 Web 界 面 ， 如 图 28-6 所 
示 ， 功 能 更 加 强大 的 命令 行 操作 接口 ， 以 及 统一 的 API ° 


admin | 


shipyard 
8$ Dashboard = Containers & Engines IE Events 
CPU Memory 


w^ | 9/26/14 5:26 PM start ef85b84daff 
ehazlett/go-demo:latest 


s | 9/26/14 5:26 PM create ef85b84dofif 
ehazlett/go-demo:latest 


dh 9/26/14 4:30 PM delete-acccunt 
name-foc 


dh | 9/26/14 4:30 PM add-account 
name=foo 


sł | 9/26/14 4:20 PM create 906523c45f1à 
ehazlett/go-demo'latest 


K28-6 Shipyard Web 界 面 


28.3.3 DockerUI 


DockerUIJji H H Bii fEhttps://github.com/crosbymichael/dockerui?f 
护 。 


该 项 目 于 2013 年 12 月 发 起 ， 主 要 基于 html/js 语 言 实现 ， 遵 循 MIT 许 
可 。 用 户 可 以 通过 下 面 的 命令 简单 测试 该 工具 : 


$ docker build -t crosbymichael/dockerui github.com/crosbymichael/dockerui 
$ docker run -d -p 9000:9000 -v /var/run/docker.sock:/docker.sock crosbymichael/ 
dockerui -e /docker.sock 


运行 成 功 后 ， 打 开 浏 览 器 ， 访 问 http://:9000， 如 图 28-7 所 示 。 


28.3.4 Panamax 


Panamax 项 目 官 方 网 站 为 http://panamax.io， 代 码 在 


https://github.com/CenturyLinkLabs/panamax-ui 维 护 。 


Panamax 项 目 诞 生 于 2014 年 3 月 ， 由 CenturyLink 实 验 室 发 起 (是 该 
实验 室 第 一 个 孵化 出 的 开源 项 目 ) ， 和 希望 通过 一 套 优 雅 的 界面 来 实现 
对 复杂 的 Docker 容 器 应 用 的 管理 ， 例 如 利用 简单 拖 搜 来 完成 操作 。 
Panamax 项 目 基于 Docker、CoreOS 和 Fleet， 可 以 提供 对 容器 进行 自动 化 
管理 和 任务 调度 。 


DockerUl 


Containers: 


ld Image Command Created Status 


9c8a34d.。  5836995bfd18  /bin/sh -c /usr/local/bin/sentry —config=/sentry.conf.py start 1370720983 


d60b3t6... 26d8t45fc 1d3 /bin/sh -c /usr/bin/redis-server /etc/redis/redis.conf 1370716229 


图 28-7  DockerUIJJi H 


Panamax 项 目 基于 Ruby 语 言 ， 遵 循 Apache 2 许可 ， 可 以 部 署 在 
Google、Amazon 等 云 平台 甚至 本 地 环境 。 


此 外 ，Panamax 还 提供 了 开源 应 用 的 模板 库 ， 来 集中 管理 不 同 应 用 
的 配置 和 架构 ， 如 图 28-8 所 示 。 


Search Panamax Templates & Docker Repositories 


[Emm 


Examnplos: Rafts, redis, NGNK, TongoD you get WE PITIT... 


Or, try one of these popular searches: 
d n $— (- Js 


From tho ConturyLink Labs Blog 


August 7, 2014 How to Usa Docker in Cloud 
Foundry with Colin Humphreys 


August 7, 2014 


Jy 28, 2014 


July 22, 2014 


Jy 16, 2014 


[28-8 Panamax H 


28.3.5 Seagull 


Seagull 是 由 小 米 工程 师 陈 迪 聚 发 布 的 开源 Docker 容 器 和 镜像 的 Web 
界面 监控 工具 ， 目 前 在 https:/github.comy/tobegit3hub/seagull 维 护 ， 如 图 
28-9 所 示 。 


Seagull Containers Images Configuration — DocxerHub Nore - 


Seagull the pest friend of docker 


I'm using /inux with kernel 3. 15.4-x86_64-linode45, go1.2.1 and Docker 1.2.0. The docker 
deamon has 70 running/stopped containers and 369 images now. Docker is an open 
platform for distributed application for developers and sysadmins, and seagull provides a 
friendly Web UI to monitor docker. 
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Containers Images Configuration Github 
Containers page dsplay all running images page display all docker Gorfiguraticn paga display ali your Seagul is opan source In Github. 
and etopped docker =ontainera images to start, stcp and delete. docker env ronment and eettinge. Welcome t> contribution and iesuee. 


E-- Em2--  Em-- EER 


图 28-9 Seagull™ H 


Seagull 基 于 Go 和 JavaScript 实 现 的， 集成 了 Beego、AngularJS、 
Bootstrap、Bower、JQuery 和 Docker 等 工具 。 它 在 本 地 运行 一 个 Web 服 
务 ， 通 过 Beego 实 现 的 API 服 务 屁 不 断 请 求 Docker 本 地 套 接 字 以 管理 
Docker。 使 用 方法 如 下 。 


下 载 镜像 : 


$ docker pull tobegit3hub/seagull 


运行 镜像 : 


$ docker run -d -p 10086:10086 -v /var/run/docker.sock:/var/run/docker. 
socktobegit3hub/seagull 


然后 就 可 以 通过 浏览 器 访问 地 址 http://127.0.0.1:10086 登 录 管 理 界 


官方 Dockerfile 镜 像 如 下 : 


# Base image is in https://registry.hub.docker.com/ /golang/ 
# Refer to https://blog.golang.org/docker for usage 
FROM golang 

MAINTAINER tobe tobeg3oogleQgmail.com 

ENV REFREST_AT 20141023 

# ENV GOPATH /go 

# Install dependency 

RUN go get github.com/astaxie/beego 

RUN go get github.com/beego/bee 

RUN go get github.com/tobegit3hub/seagull 

# Go to the folder of seagull 

WORKDIR /go/src/github.com/tobegit3hub/seagull/ 

# Build the project 

RUN go build seagull.go 

# This should be the same as httpport in conf/app.conf 
EXPOSE 10086 

# Run the server 

CMD ["./seagull"] 


28.3.6 Dockerboard 


Dockerboard 是 一 个 可 视 的 管理 工具 ， 让 Docker 管 理 变 得 人 简单。 项 
目地 址 : https://github.com/dockerboard， 遵 循 MIT 协 议 ， 如 图 28-10 所 


Docker Version 


[28-10 ”Dockerboard 项 目 


Dockerboard 目 前 由 两 部 分 组 成 : dockerboard 和 bluewhale: 
.dockerboard 是 由 Go 开发 的 后 端 API 服 务 。 
:bluewhale 是 由 Angular.js 搭 建 的 前 端 Web UI ° 


安装 & 使 用 


默认 Dockerboard 可 以 通过 http:/127.0.0.1:8001 继 续 访 问 管理 ， 如 果 
使 用 boot2docker， 可 以 通过 http:/$(boot2docker ip 2>/dev/null):8001。 下 
面 介绍 儿 种 安装 方式 。 


通过 Go 进行 安装 : 


go get github.com/dockerboard/dockerboard 

go install github.com/dockerboard/dockerboard 

git clone --depth 1 https://github.com/dockerboard/bluewhale.git 
dockerboard -h 

$(boot2docker shellinit) 

dockerboard server -s bluewhale/dist 

open http://$(boot2docker ip 2»/dev/null):8001 

从 Docker Hub 获 取 Image 进 行 安装 

$ docker pull dockerboard/dockerboard 

$ docker run -d -p 8001:8001 -v /var/run/docker.sock:/var/run/docker.sock --name 
dockerboard  dockerboard/dockerboard 
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当然 也 可 以 通过 Dockerfile 构 建 : 


FROM golang 

MAINTAINER fundon cfddream@gmail.com 

RUN go get github.com/dockerboard/dockerboard 

ENV GOPATH /go/src/github.com/dockerboard/dockerboard/Godeps/ workspace:/go 
WORKDIR /go/src/github.com/dockerboard/dockerboard/ 

RUN go build dockerboard.go 

RUN git clone --depth 1 https://github.com/dockerboard/bluewhale.git /bluewhale 
EXPOSE 8001 

ENTRYPOINT ["./dockerboard", "server", "-s", "/bluewhale/dist"] 


28.4 ”编程 开发 
由 于 Docker 服 务 端 提供 了 REST 风 格 的 API， 通 过 对 这 些 API 进 一 步 
地 封装 ， 可 以 提供 给 各 种 开发 语言 作为 Docker 的 使 用 库 。 


这 里 以 docker-py 项 目 为 例 ， 介 绍 在 Python 语言 中 对 Docker 相 关 资 
源 进 行 的 操作 。 


1. 安 装 docker-py 


$ sudo 
$ sudo pip install docker-py 


安装 后 可 以 发 现 ， 代 码 结 构 十 分 清晰 ， 主 要 提供 了 Client 类 ， 用 来 
封装 提供 用 户 可 以 用 Docker 命 令 执行 的 各 种 操作 ， 包 括 build、run、 


commit ` create _container ` info š 0O ° 


对 REST 接 口 的 调用 使 用 了 request 库 。 对 于 这 些 API， 用 户 也 可 以 
通过 curl 来 进行 调用 测试 。 


2. 使 用 示例 
打开 Python 的 终端 ， 首 先 创建 一 个 Docker 客 户 端 连接 ; 


$ sudo python 
>>> import docker 


>>> C = 
docker .Client(base_url='unix://var/run/docker .sock',version='1.15',timeout=10) 


通过 info0) 方 法 查看 Docker 系 统 信息 : 


>>> c.info() 

(u'KernelVersion': u'3.13.0-24-generic', u'NFd': 19, u'MemoryLimit': 1, 

u'InitSha1': 
u'', u'SwapLimit': ©, u'Driver': u'aufs', u'IndexServerAddress': u'https:// 
index.docker.io/v1/', u'NGoroutines': 27, u'Images': 200, u'InitPath': 
u'/usr/bin/docker', u'Containers': 2, u'ExecutionDriver': u'native-0.2', 
u'Debug': 0, u'NEventsListener': 0, u'DriverStatus': [[u'Root Dir', u'/var 
/lib/docker/aufs'], [u'Dirs', u'204']], u'OperatingSystem': u'Ubuntu 14.04.1 
LTS', u'IPv4Forwarding': 1} 


通过 images() 和 containers() 方 法 可 以 查看 本 地 的 镜像 和 容器 的 列 
E 


>>> c.images() 

[(u'Created': 1414108439, u'VirtualSize': 199257566, u'ParentId': 
u'22093c35d77bb609b9257ffb2640845ec05018e3d96cb939f68d0e19127f1723', 
u'RepoTags': [u'ubuntu:latest'], u'Id': u'5506de2b643be1e6febbf3b8a240760 
c6843244c41e12aa2f60ccbb7153d17f5', u'Size': 0j] 

>>> c.containers() 

[(u'Status': u'Up 5 seconds', u'Created': 1415086513, u'Image': u'ubuntu:latest', 
u'Ports': [], u'Command': u'/bin/bash', u'Names': [u'/romantic blackwell'], 
u'Id': u'f5df2e4cc6df8829baa00018fe3a9e5112cc4d0786cc674d621e51ab795c9fd6'3] 


A 


通过 create_container() 方 法 来 创建 一 个 容器 ， 之 后 启动 它 : 


>>> container = c.create container(image-'ubuntu:latest', command='bash') 

>>> print(container) 

(u'Id': u'a8439e4c8e64a94a287d408fdc3ff9a0b4a8577fe3b5e32975b790afb41444af', 
u'Warnings': None} 

>>> 

c.start(container-'a8439e4c8e64a94a287d408fdc3ff9a0b4a8577fe3b5e32975b790afb41414a 

f') 


可 见 ， 所 提供 的 方法 与 Docker 提 供 的 命令 都 十 分 类 似 。 实 际 上 ， 
在 执行 Docker 命 令 的 时 候 ， 也 是 通过 Docker 提 供 的 客户 端 进行 了 封 
装 ， 并 辐 服 务 端 发 起 API 请 求 。 


28.5 网络 文 持 


围绕 Docker 网 络 的 管理 和 使 用 ， 现 在 已 经 诞生 了 一 些 方便 用 户 操 
作 的 工具 和 项 目 ， 代 表 性 的 工具 包括 pipework、Flannel、Weave 以 及 
Calico 项 目 。 


28.5.1 pipework 


JerOme Petazzoni 编 写 了 一 个 叫 pipework 的 shell 脚 本 ， 代 码 托管 在 
https://github.com/jpetazzo/pipework， 该 工具 封装 了 底层 通过 ip、brctl 等 
网 络 设备 操作 命令 ， 可 以 简化 在 比较 复杂 的 场景 对 容器 连接 的 操作 命 


令 。 


使 用 该 工具 ， 可 以 轻松 地 配置 容 右 的 IP 地 址 、 为 容 兹 划分 VLan 等 
功能 。 

例如 ， 分 别 局 动 两 个 终端 ， 在 其 中 创建 两 个 测试 容器 c1 和 c2， 并 
查看 默认 网 卡 配 置 。 


利用 pipework 为 容器 cl1 和 c2 添 加 新 的 网 卡 eth1， 并 将 它们 连接 到 新 
创建 的 br1 网 桥 上 ， 如 下 所 示 : 


$ sudo pipework bri ci 192.168.1.1/24 
$ sudo pipework bri c2 192.168.1.2/24 


此 时 在 主机 系统 中 查看 网 桥 信 息 ， 会 发 现 新 创建 的 网 桥 br1， 并 且 
有 两 个 veth 冰 口 连接 上 去 : 


$ sudo brctl show 


bridge name bridge id STP enabled interfaces 

bri 8000.868b605fc7a4 no veth1pl17805 
veth1p117880 

dockero 8000.56847afe9799 no veth89934d8 


此 时 ， 容 器 c1 和 c2 可 以 通过 子 网 192.168.1.0/16 相 互 连 


另外 ，pipework 还 支持 指定 容 右 内 的 网 卡 名 称 、MAC 地 址 、 网 络 
掩 码 和 网 关 等 配置 ， 甚 至 通过 macvlan 连 接 容器 到 本 地 物理 网 卡 ， 实 现 
跨 主 机 通信 。 


pipework 代 码 只 有 200 多 行 ， 建 议 进行 阅读 ， 有 助 于 理解 如 何 利用 
Linux 系 统 上 的 iproute 等 工具 实现 容 絮 连接 的 配置 。 


28.5.2 Flannel 


Flannel 由 CoreOS 公 司 推出 ， 现 在 主要 面 癌 Kubernetes， 为 其 提供 诬 
层 的 网 络 虚拟 化 方案 ， 代 码 托管 在 https://github.com/coreos/flannel ° 


Flannel 的 设计 是 典型 的 采用 窗 盖 网 络 的 思路 ， 在 每 个 主机 上 添加 
一 个 隧道 端 操 ， 所 有 跨 主机 的 流量 会 经 过 隧道 端点 进行 隧道 封包 (GR 


型 为 VXLAN 协 议 ，Docker Swarm 也 文 持 ) ， 直 接 发 送 到 对 端 ， 如 图 28- 
11 所 示 。 


CoreOS Machine 


Pod 
Web App Frontendi.. 


* n MA 
Facchini Outer scurce:192.168.0.100 
app1 container z = IP dest:122.168.0.200 
e Q5 1 
Z = UDP 
E m Inner source:10.1.15.2 
Pod N x IP  dest:10.1.20.3 
Web App Frontend2 packet 
T py - vethl M 
cache2 container PATAR RTT N - 
| b 
app2 container ES 
N é 


"ore achine } 
= / 
vethü 


backend1 container PEE 


1€.1.20.2/24 
backup! container S " JU 
En] ^ N 
P E 2 


Pod 


Backend Servicc2« 


backend2 container 


backup2 container 


图 28-11 ”Flannel 网 络 示意 图 


跟 传统 的 基于 窗 蓄 网 络 的 网 络 虚拟 化 方案 类 似 ， 这 种 设计 的 优势 
在 于 有 很 好 的 扩展 性 ， 只 要 IP 连 通 的 主机 即 可 构成 同一 个 虚拟 网 络 ， 
甚至 跨 数 据 中 心 。 问 题 也 很 明显 ， 一 个 是 隧道 协议 目前 还 比较 难 追 
踪 ， 另 一 个 是 解 包 和 封包 处 理 负载 重 ， 如 果 没 有 硬件 offload 则 往往 性 能 
会 有 损耗 。 还 有 就 是 当中 间 路 径 存 在 负载 均衡 设备 时 ， 要 避免 均衡 出 
现 失效 。 


28.5.3 Weave Net 


Weave Net 由 Weave 公 司 开 发 的 面 癌 容器 的 网 络 虚 拟 化 方案 ， 项 目 


托管 在 https://github.com/weaveworks/weave ° 
解决 容 强 网 络 跨 主机 问题 的 思路 主要 是 打通 跨 主 机 容 句 之 间 的 通 
， 主 要 手段 无 非 是 用 和 窗 盖 网 络 建立 隧道 或 者 是 通过 更 改 包 头 进 行 转 


A 
H 


ll 


Weave Net 的 设计 比较 有 意思 ， 在 每 个 主机 上 添加 一 个 路 由 器 ， 在 
混杂 模式 下 使 用 pcap 在 网 桥 上 截获 网 络 数 据 包 ， 如 果 该 数据 包 是 要 发 
送 到 其 他 主机 上 的 ， 则 通过 UDP 进 行 转发 ， 到 目的 主机 所 在 的 路 由 器 
上 ， 目 的 路 由 器 执行 相反 的 过 程 利用 pcap 解 析 网 包 再 发 送 给 网 桥 。 整 


个 过 程 是 模拟 了 一 个 隧道 方式 。 参 见 图 28-12。 
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图 28-12 “Weave 网 络 示 意图 


这 样 设计 的 好 处 是 可 以 进行 细 粒 度 的 管理 ， 整 个 转发 过 程 很 容易 
追 踩 ; 潜在 的 问题 是 对 管理 平面 〈 特 别 是 路 由 喜 的 目 动 收敛 和 学 习 ) 
要 求 比较 复杂 ， 并 且 执 行 pcap 过 程 会 比较 消耗 计算 资源 。 实 际 部 嗜 中 
要 考虑 结合 软件 定义 网 络 和 硬件 处 理 等 手段 来 缓解 这 两 个 问题 。 


28.5.4 Calico 


Calico 项 目 官 方 网 站 在 https://www.projectcalico.org/。 


Calico 的 设计 则 更 为 直接 ， 干 脆 不 文 持 网 络 虚 拟 化 ， 直 接 采 用 传统 
的 路 由 转发 机 制 ， 也 是 在 每 个 节点 上 配置 一 个 vRouter， 人 负责 处 理 跨 主 
机 的 流量 。vRouter 之 间 通 过 BGP 目 动 学 习 转 发 策略 。 
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图 28-13 ”Calico 网 络 示 意图 


由 于 Calico 不 采用 隧道 方式 ， 而 古 依 赖 于 传统 的 IP 转 发 ， 这 束 限 制 
了 它 的 应 用 场景 ， 无 法 跨 数 据 中 心 ， 无 法 保障 中 间 路 径 安全 。 但 带 来 
了 容易 管理 、 转 发 性 能 会 好 的 一 些 优势 。 


Calico 目 前 支持 VM ` Docker ` Kubernetes ` Openstack® 4 ^M H 


HUE gs NIRE 


28.6 ”日志 处 理 


28.6.1 Docker-Fluentd 


Ene ER 
fluentd。Docker-Fluentd 以 容器 运行 ， 可 以 收集 其 他 容器 的 运行 
重 定 问 到 文件 或 者 第 三 方 的 分 析 引 警 中 。 


使 用 方法 很 简单 ， 直 接 局 动 一 个 本 地 采集 容 需 即 可 ， 如 下 所 示 : 


$ docker run -d -v /var/lib/docker/containers:/var/lib/docker/containers kiyoto 
/docker -fluentd 


如 果 要 重 定 加 到 其 他 分 析 引 警 ， 比 如 Elasticsearch， 可 以 更 改 
Dockerfile， 加 入 如 下 内 容 : 


RUN ["apt-get", "update"] 

RUN ["apt-get", "install", "--yes", "make", "libcurl4-gnutls-dev"] 

RUN ["/usr/local/bin/gem", "install", "fluent-plugin-elasticsearch", 
"--no-rdoc", "--no-ri"] 


同时 修改 fluent.conf 如 下 所 示 : 


<source> 
type tail 
path /var/lib/docker/containers/*/*-json.log 
pos file /var/log/fluentd-docker.pos 
time format %Y-%m-%dT%H : 96M : 96S 
tag docker.* 
format json 
«/source» 


«match docker.var.lib.docker.containers.*.*.log» 
type record reformer 
container id $[tag parts[5]]) 
tag docker.all 

«/match» 

«match docker.all» 
type elasticsearch 
log level info 
host YOUR ES HOST 
port YOUR ES PORT 
include tag key true 
logstash format true 
flush intercal 5s 

«/match» 


最 后 重新 创建 镜像 即 可 。 
28.6.2 Logspout 


Logspout 由 gliderlabs 推 出 ， 基 于 Golang 实 现 ， 代 码 托管 在 


https://github.com/gliderlabs/logspout ° 


与 Fluentd 类 似 ，Logspout 也 是 提供 一 个 本 地 的 agent， 采 集 主 机 上 
所 有 容器 的 标准 和 输出， 然后 发 送 到 采集 端 。 


Logspout 文 持 对 所 采集 的 容 喜 进行 痛 选 ， 并 且 文 持 Syslog、 
Kafka ^ Redis ^ Logstash- Z PPKR nim ° 
内 型 的 应 用 是 发 送 到 远 端的 Syslog 服 务 器 ， 执 行 命令 也 十 分 简单 。 
要 注意 如 果 用 容器 方式 启动 ， 则 把 本 地 的 docker.sock 人 句柄 映射 到 容器 


zo 


$ docker run --name-"logspout" \ 
- -volume-/var/run/docker.sock:/var/run/docker.sock \ 


gliderlabs/logspout \ 
syslog-*tls://your syslog server:5000 


Qus 


FL FÉ HP, FERKA phie 5] om HE 
采集 后 端 连接 中 断后 ， 还 不 文 持 主动 重 连 ， 需 要 手动 重 局 agent 容 器 。 


28.6.3 Sematext-agent-docker 


Sematext Docker Agent 代 码 托管 在 
https://github.com/sematext/sematext-agent-docker， 通 过 Docker API 为 
SPM Docker Monitor 收 集 Metrics， 事 件 和 日 志 信 息 ， 它 文 持 多 种 平 
CoreOS、Rancher OS ` Docker Swarm、Kubernetes 等 。 同 时 提供 丰富 的 


前 端 显示 ， 如 图 28-14 所 示 。 
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图 28-14 ”Sematext-agent-docker 提 供 丰 宣 的 前 端 显示 


28.) 服务 代理 工具 


服务 代理 〈 又 叫 反 向 代理 ) 是 指 以 代理 服务 器 来 接受 internet 上 的 
连接 请 求 ， 然 后 将 请 求 转 发 给 内 部 网 络 上 的 服务 器 ， 并 将 从 服务 器 上 
得 到 的 结果 返回 给 internet 上 请 求 连 接 的 客户 端 ， 此 时 代理 服务 器 对 外 
就 表现 为 一 个 服务 器 。 服 务 代 理 服务 器 也 可 以 作为 负载 均衡 器 ， 隐 茂 
后 端 真正 服务 需 的 细节 ， 提 高 统一 访问 接口 地 址 。 参 见 图 28-15 。 
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K28-15 ”服务 代理 工具 的 功能 


下 面 介绍 文 持 Docker 环 境 的 一 些 服 务 代理 开源 项 目 。 


28.7.1 Traefik 


Traefik 项 目 官方 网 址 为 https:Wtraefik.io/。 代码 网 址 为 


https://github.com/containous/traefik ° 


Traefix 是 一 个 可 以 用 来 简化 微服 务 部 署 的 HTTP 代 理 服务 絮 和 人 负载 
均衡 服务 句 ， 文 持 多 种 后 端 服 务 ， 包 括 Docker、Swarm ^ 
Mesos/Marathon ` Kubernetes ^ Consul ` Etcd ` Zookeeper ` BoltDB ^ 


Rest API ^ file&& ° 


传统 的 代理 服务 器 不 适应 于 动态 环境 ， 配 置 的 动态 改变 一 般 难 以 
实现 ， 而 微服 务 架构 恰恰 是 动态 的 ， 服 务 的 添加 、 去 除 和 升级 经 解 发 
生 。Traefix 可 以 监听 服务 注册 /编排 的 API， 当 服务 状态 发 生 改 变 时 ， 可 
动态 更 新 反 向 代理 服务 器 的 配置 。 功 能 逻辑 图 参见 图 28-16 。 
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图 28-16 ”Traefik 服 务 代理 流程 


还 提供 可 视 化 的 WebUI 进 行 配置 和 状态 监测 ， 如 图 28-17 所 示 。 


图 28-17 ”Traefik 的 可 视 化 管理 界面 


运行 方式 包括 二 进 制 模式 和 容器 模式 。 


二 进 制 模式 运行 时 需 下 载 binary 和 配置 文件 
(https://github.com/containous/traefik/releases 和 


https://raw.githubusercontent.com/containous/traefik/master/traefik.sample.t 


oml)， 然 后 直接 运行 : 


$ ./traefik -c traefik.toml 


容器 模式 的 命令 如 下 : 


$ docker run -d -p 8080:8080 -p 80:80 -v $PWD/traefik.toml:/etc/traefik 
/traefik.toml traefik 


28.7.2 Muguet 


Muguet tE [TE 7j: https://github.com/mattallty/muguet ° 


Muguet 除 了 提供 服务 代理 功能 外 ， 还 提供 DNS 解析 功能 ， 这 样 应 
用 可 以 使 用 域名 来 访问 容 髓 ， 而 不 需要 再 使 用 静态 端口 和 IP。 功 能 逻 
辑 图 如 下 图 28-18 所 示 。 
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图 28-18 Muguet 进 行 反 加 代理 和 域名 解析 的 过 程 
Muguet 的 安装 和 使 用 都 比较 简单 : 


Install Muguet 

$ npm install -g muguet 
Start Muguet (as root) 

$ sudo muguet up 

Usage 

$ sudo muguet up [options] 


Muguet 提 供 WebUI， 默 认 域 名 http://muguet.docker， 如 图 28-19 所 


zs? 


28.7.3 nginx-proxy 


nginx-proxy 代 码 网 址 为 https://github.com/jwilder/nginx-proxy ° 


nignx-proxy 以 容 絮 方式 运行 Nginx 和 docker-gen， 其 中 docker-gen 负 
责 产 生 代理 配置 文件 并 在 容 锋 启动 时 进行 加 载 。 使 用 方法 如 下 。 


Dernaln sat to dockar 
Proxy server lietening cn ports 80, 5850, 32778 
DNS server listening on port 53 


Proxied domains 
http://druid.dockar:BO 
http;//cruid.docker:32778 


http//bldder.docker:80 


htip:;//amc.docker:Bü 

http://ogs.docker.80 
http-//elastic elk cocker'Bn 
htto:/kibana elk docker; 82 


DNS entries 
muguet.dooker 一 10.264.254.254 
druid.docker 一 10.254.254.254 
07083a5955d1.docker — 10.254 254.254 
bidder.cocker 一 10.254.254.254 
f34b59abd585.dccker — 10.254 254.254 
amc.docker 一 10.254. 254.254 
cf52782d22hh dockar — 10.254 254 254 
9gs.docker — 10.254.254.254 
feba2d5571H .docker 一 10.254.254.254 
ek.docker 一 10254.254.254 
0887d61e8a76.docker — 10.254.254.254 
elastic.elk.docker — 10.254.254 254 
elastic.0887d6156a78.docker 一 10.254.254.254 
kibana.elk.docker — 10.254.254 254 
kibana.0887d31662a76.cocker 一 10.251.254.254 
aerospi«e.docker — 172.17.0.2 
b24157065357 docker 一 172.17.0.2 


图 28-19 Muguet 的 Web 管 理 界面 


运行 nignx-proxy: 


$ docker run -d -p 80:80 -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder 
/nginx-proxy 


运行 需要 proxy 的 容器 : 


$ docker run -d -e VIRTUAL HOST-demo.tenxcloud.net --expose 8080 index. 
tenxcloud.com/tenxcloud/tomcat 


注意 ， 需 要 设置 VIRTUAL_HOST 环 境 变量 修改 DNS， 使 其 值 指向 
niginx-proxy 所 在 机 器 IP， 同 时 需要 使 用 一 expose 上 紧 露 容器 服务 端口 。 
访问 http://demo.tenxcloud.com 即 可 ， 参 见 图 28-20。 


a-f http;//demc.tenxcloud.net/ J - -> [3 Apache Tomcat/n0:11 x| meo Sg 


Home Documentation Configuration Examples Wiki Mailing Lists Find Help 


Apache Tomcat/8.0.11 T^ Apache Software Foundation 


http://www.apache.org/ 


If you're seeing this, you've successfully installed Tomcat. Congratulations! 


™ Recommended Reading: 


Security Considerations HOW-TO 


Maneger App 
Manager Application HOW-TO 


Clustering/Session Replication HOW-TO | Host Manager _ J 


Developer Quick Start 


Tomcat Setup Realms & AAA Servlet Specifications 
First Web Application JDBC DataSources Tomcat Versions 


Managing Tomcat Documentation Getting Help 

For security, access to the manager is Tomcat 8.0 Documentation FAQ and Mailing Lists 

restrictec. Users are defined in: Tomcat 8.0 Configuration The following mailing lists are available: 
te ES tomcat-usoers.axrml Tomcat Wiki 


图 28-20 Nginx 的 管理 界面 


28.8 ”标准 与 规范 


随 看 Docker 市 来 的 容 右 技术 的 爆发 ， 社 区 在 不 断 增强 容器 技术 易 
用 性 的 同时 ， 也 在 思考 如 何 更 长 远 地 发 展 容 器 技术 ， 如 兼容 不 同 的 容 
郁 标 准 ， 适 应 更 多 类 型 的 操作 系统 平台 以 及 设计 应 用 等 。 目 前 沿 着 这 
个 方向 努力 ， 已 经 有 了 一 些 组 织 (如 开放 容器 倡议 OCI) 在 倡导 成 立 
一 些 推 荐 大 家 都 遵守 的 容 右 标准 和 规范 ， 同 时 也 总 结 了 一 些 面向 云 应 
用 的 设计 实践 经 验 。 


1.runC 标 准 


runC 标 准 最 早 由 Docker 公 司 在 2014 年 2 月 左右 推出 ， 项 目地 址 为 
https://github.com/opencontainers/runc， 它 的 目标 是 打造 一 套 轻 量 级 
的 、 标 准 化 的 容 需 运行 环境 。 


E 
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的 货源 隔离 。 目 前 ，runC 已 经 贡献 给 了 开放 容器 倡议 ， 得 到 了 包括 
Docker、Google、IBM 在 内 的 众多 厂家 的 支持 。 


目前 ，Docker 1.11+ 版 本 中 已 经 默认 集成 了 runC 机 制 的 支持 。 


2.appC 标 准 


appC 来 上 自 于 男 外 一 家 容 句 领域 的 积极 贡献 者 CoreOS 公 司 ， 最 早 在 
2014 年 11 月 左右 提出 ， 项 目地 址 为 https://github.com/appc ° 


除了 对 运行 时 环境 进行 了 一 些 定义 ，appC 还 对 容 右 如 何 进行 打 
包 、 如 何 保持 对 环境 的 配置 ( 挂 载 点 、 环境 变量 ) 、 如 何 验证 镜像 、 
如 何 传输 镜像 等 务 试 进行 规定 。 


遵循 appC 标 准 ，CoreOS 公 司 实现 了 rkt 容 需 机 制 。 


目前 ，appC 也 已 经 页 献 给 了 开放 容 絮 倡议 组 织 ， 壬 试 推出 更 开放 
规范 的 标准 。 


3.Nulecule 


Nulecule 来 目 于 ReDHat 公 司 的 贡献， 最 早 在 2015 年 3 月 左右 开源 ， 
项 目地 址 为 https://github.com/projectatomic/nulecule/。 Nulecule M [H] fJ 
应 用 场景 是 描述 由 多 个 容 需 组 成 的 复合 应 用 栈 。 


目前 ， 文 持 多 容器 应 用 的 平台 。 如 Docker Swarm 和 采用 了 Docker 
Compose 模 板 文 件 ， 而 Kubernetes 则 采用 了 目 定义 的 描述 文件 ， 它 们 彼 
此 之 间 无 法 通用 ， 那 径 Nulecule 则 都 文 持 ， 它 定义 一 套 标 准 的 、 通 用 
的 、 可 移植 的 格式 ， 定 义 了 多 容 句 应 用 的 部 署 规范 ， 包 括 应 用 的 元 数 
据 、 依 赖 、 参 数 配 置 等 。 


为 了 支持 Nulecule，RedHat 公 司 还 推出 了 Atomic 项 目 ， 提 供 快速 
使 用 支持 。 


4. 开 放 容 器 格式 


为 了 推动 容器 标准 化 ，2015 年 6 月 22 日 ，AWS、EMC、IBM、 合 
歌 、Docker、CoreOS、redhat 等 数 十 家 公司 共同 牵头 成 立 了 开放 容 絮 
倡议 组 织 (Open Container Initiative, OCI) ， 引 在 建立 一 套 通用 的 容 
器 规范 OCF。 该 组 织 现在 受到 Linux 基 金 会 的 支持 ， 其 官方 网 站 为 


https://www.opencontainers.org ° 


目前 ，OCIIE 在 推动 所 提出 的 开放 容 右 规范 (Open Container 
Format, OCF) ， 融 合 了 来 自 runC、appC 等 多 家 容器 规范 ， 试 图 打造 
一 套 移植 性 好 、 开 放 统 一 的 容器 标准 。 目 前 已 经 有 了 
镜像 格式 等 方面 的 规范 草案 。 


TS 


对 容器 运行 时 、 


OCF 对 标准 容 吉 运行 时 规范 制定 了 5 条 原则 : 


.标准 化 操作 (standard operations) : 创建 、 删 除 、 打 包容 器 等 操 
作 都 必须 标准 化 ; 


:内容 无 关 性 (contentagnostic) : 操作 应 该 跟 内 容 无 关 ， 保 持 行为 
上 的 一 致 性 ; 


台 无 关 性 (infrastructureagnostic) : 在 任何 支持 OCI 的 平台 
上 ， 操 作 都 必须 能 同等 执行 ; 


.设计 考虑 自动 化 (designed for automation) : 标准 容器 是 为 自动 
化 而 生 ， 其 规范 必须 考虑 自动 化 条 件 ; 


企业 级 交付 (industrialgrade delivery) : 标准 容器 需要 适用 于 企 
业 级 流水 线 的 交付 任务 。 


5. 云 应 用 12 要 素 


在 云 计 算 时 代 ， 应 用 的 整个 生命 周期 将 在 数据 中 心里 渡 过 ， 这 跟 
传统 软件 模式 极 大 不 同 。 


云 应 用 实际 上 意味 着 :代码 + 配置 + 运行 时 环境 
什么 样 的 软件 才 是 可 用 性 和 可 维护 性 好 的 软件 ? 
什么 样 的 代码 才能 避免 后 续 开 发 的 上 手 障 碍 ? 
什么 样 的 实施 才能 可 靠 地 运行 在 分 布 式 的 环境 中 ? 


Heroku (PaaS 服 务 提供 商 ，2010 年 被 Salesforce 收 购 ) 平台 创始 人 
Adam Winggins 提 出 了 云 应 用 12 要 素 (12factor) ， 对 开发 者 设计 和 实 
现 云 时 代 (特别 是 PaaS 和 SaaS 上 ) 高 效 的 应 用 都 有 很 好 的 参考 意义 。 


(1) Codebase 代码 仓库 


One codebase tracked in revision control, many deploys ? 


每 个 子 系统 都 用 独立 代码 库 管 理 ， 使 用 版 本 管理 ， 实 现 独 立 的 部 
车 。 即 将 系统 拆 分 为 多 个 分 布 式 应 用 ， 每 个 应 用 使 用 目 己 的 代码 库 进 


(2) Dependencies 一 一 依赖 


Explicitly declare and isolate dependencies ° 


显 式 声明 依赖 ， 通 过 环境 来 广 格 隔离 不 同 依赖 。 所 依赖 的 与 所 声 
明 的 要 保持 一 致 ， 并 且 声明 要 包括 依赖 库 的 版 本 信息 。 


(3) config 一 一 配置 


Store config in the environment ° 


在 环境 变量 中 保存 配置 信息 ， 避 人 免 放 在 源码 或 配置 文件 中 。 


(4) Backing Services 后 端 服 务 


Treat backing services as attached resources 


后 端 服 务 《数据库 、 消 息 队 列 、 缓 存 等 ) 作为 可 挂 载 资 源 来 使 
用 ， 这 样 系统 跟 外 部 依赖 尽量 松 耦 合 。 


生命 周期 管理 


(5) Build，release，run 


Strictly separate build and run stages ? 


区 分 不 同 生命 周期 的 运行 环境 ， 包 括 创 建 (代码 编译 为 运行 
&) 、 发 布 (多 个 运行 包 和 配置 放 一 起 打包 ， 打 包 是 一 次 性 的 ， 每 次 
修改 都 是 新 的 release) 、 运 行 ， 各 个 步 又 的 任务 都 很 明确 ， 要 相互 隔 
离 。 例 如 ， 绝 对 不 允许 在 运行 时 去 改 代码 和 配置 信息 ( 见 过 太 多 工程 
师 直 接 SSH 到 生产 环境 修 bug 了 ) 


进程 


(6) Processes 


Execute the app as one or more stateless processes ° 


以 一 个 或 多 个 无 状态 的 进程 来 运行 应 用 ， 即 尽量 实现 无 状态 ， 不 
要 在 进程 中 保存 数据 。 尽量 通 过 数据 库 来 共 至 数据 。 


(7) Port binding 一 一 端口 


Export services via port binding ° 


通过 端口 绑 定 来 对 外 提供 服务 。 可 以 是 HITP、XMPP、Redis 等 协 
。 多 个 应 用 之 间 通 过 URL 来 使 用 彼此 的 服务 。 


并 发 模型 


(8) Concurrency 


Scale out via the process model ° 


过 进程 控制 来 扩展 ， 即 尽量 以 多 进程 模型 进行 扩展 。 


任意 存活 


(9) Disposability 
Maximize robustness with fast startup and graceful shutdown ? 


快速 启动 〈 秒 级 响应 ) ， 优 雅 关 闭 〈 收 到 SIGTERM 信 号 后 结束 正 
在 处 理 请 求 ， 然 后 退出 ) ， 并 尽量 鲁 村 (随时 ki 记 ， 随 时 crash 都 不 应 该 
导致 问题 ) 。 


(10) Dev/prod parity 一 一 减少 开发 与 生产 环境 的 差异 性 


Keep development, staging, and production as similar as possible ° 


尽量 保持 从 开发 、 演 练 到 生产 部 闭环 境 的 相似 性 。 这 点 很 不 
易 ， 真 正 要 求 工程 师 慌 研发， 还 得 懂 运 维 。 


m 


(11) Logs 日 志 


Treat logs as event streams ° 


将 日 志 当 作 事 件 流 来 进行 统一 的 管理 和 维护 (使 用 Logstash 等 工 
具 ) 。 应 用 只 需要 将 事件 写 出 来 ， 例 如 到 标准 输出 stdout， 剩 下 的 由 采 
集 系 统 处 理 。 


用 


(12) Admin processes 一 一 管理 


Run admin/management tasks as one-off processes ° 


将 管理 “迁移 数据 库 、 查 看 状态 等 ) 作为 一 次 性 的 系统 服务 来 使 


^ 管理 代码 跟 业 务 代码 要 放 在 一 起 进行 代码 管理 。 


289 ”其 他 项 目 


28.9.1 CoreOS 


项 目 官方 网 站 为 https://coreos.com/， 代 码 在 https://github.com/coreos 
HEFP o 


CoreOS 项 目 基 于 Python 语言 ， 遵 循 Apache 2.0 许 可 ， 由 CoreOS 团 队 
在 2013 年 7 月 发 起 ， 目 前 已 经 正式 发 布 首 个 稳定 版 本 。 


CoreOS 项 目 目标 是 提供 一 个 基于 Rocket 容 需 的 轻 量 级 容器 化 Linux 
发 行 版 ， 通 过 轻 量 的 系统 架构 和 灵活 的 应 用 部 署 能 力 来 简化 数据 中 心 
的 维护 成 本 和 复杂 度 。 


CoreOS 基 于 一 套 精简 的 Linux 环 境 ， 不 使 用 包 管 理工 具 ， 而 将 所 有 
应 用 都 进行 容 需 化 ， 彼 此 隅 离 ， 从 而 提高 了 系统 的 安全 性 。 此 外 ， 运 
行 期 间 ， 系 统 分 区 是 只 读 状 态 ， 利 用 主 从 分 区 支持 更 稳定 的 无 颖 升 
级 。 配 合 Etcd 〈 分 布 式 高 可 用 的 键 值 数据 库 ) ^ Fleet. (分 布 式 init 任 务 
H) >` Flannel (Overlay 网 络 管理 ) 等 工具 ，CoreOS 也 将 适用 于 在 大 
规模 集群 环境 中 进行 使 用 。 人 参见 图 28-21。 


docker 
containers 


CoreOS Host 


28-21 CoreOSJJ H 


该 项 目 目前 得 到 了 KPCB 等 多 家 基金 的 投资 。 


28.9.2 ”OpenStack 文 持 


OpenStack 是 近 些 年 Linux 基 金 会 发 起 的 ， 最 受 欢迎 的 云 开源 项 目 。 


项 目的 官方 网 站 在 http:/www.openstack.org。 项 目 遵循 Apache 许 可 ， 受 


到 包括 IBM、Cisco、AT&T、HP、Rackspace 等 众多 企业 的 大 力 支 持 。 


项 目的 目标 是 搭建 一 套 开源 的 架构 即 服务 (Infrastructure as a 
Service，IaaS) 实现 方案 ， 主 要 基于 Python 语言 实现 。 该 项 目 孵化 出 来 
的 众多 子 项 目 已 经 在 业界 产生 了 诸多 影响 。 


OpenStack 目 前 除了 可 以 管理 众多 虚 机 外 ， 其 计算 服务 (Nova) 已 
经 文 持 了 对 Docker 的 张 动 ， 此 外 ， 还 文 持 通过 Stack 管 理 引 擎 Heat 子 项 
目 来 使 用 模板 管理 Docker 容 姨 。 


例如 ， 下 面 的 Heat 模 板 ， 定 义 了 使 用 Docker 容 屁 运 行 一 个 cirros 镜 
像 


heat template version: 2013-05-23 
description: Single compute instance running cirros in a Docker container. 
resources: 
my instance: 
type: OS::Nova::Server 
properties: 
key name: ewindisch key 
image: ubuntu-precise 
flavor: mi.large 
user data: £include https://get.docker.io 
my docker container: 
type: DockerInc::Docker::Container 
docker endpoint: ( get attr: [my instance, first address] } 
image: cirros 


此 外 ，OpenStack 上 自身 的 部 署 也 可 以 基于 Docker 技 术 ， 从 而 得 到 极 
大 的 简化， 甚至 更 进一步 地 ， 可 以 通过 Kubermnetes 等 容 絮 云 方案 快速 局 
动 一 僚 OpenStack 环 境 。 


28.9.3 dockerize 


一 般 来 说 ， 要 将 一 个 应 用 放 到 容器 里 ， 需 要 考虑 两 方面 的 因素 ， 
一 是 应 用 依赖 的 配置 信息 ; 二 是 应 用 运行 时 候 的 输出 日 志 信 息 。 
dockerize 是 一 个 Go 程序 ， 试 图 简化 这 两 方面 的 管理 成 本 ， 目 前 代码 在 
https://github.com/jwilder/dockerize 维 护 。 


它 主要 可 以 提供 两 个 功能 ， 一 是 对 于 依赖 于 配置 文件 的 应 用 ， 能 
自动 提取 环境 变量 并 生成 配置 文件 ， 另 外 一 个 是 将 应 用 输出 的 日 志 信 
息 重 定向 到 STDOUT 和 STDERR 。 


下 面 给 出 一 个 简单 的 例子 ， 比 如 要 创建 一 个 Nginx 镜 像 ， 标 准 的 
Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y nginx 

RUN echo "daemon off;" »» /etc/nginx/nginx.conf 

EXPOSE 80 

CMD nginx 


使 用 dockerize， 则 需要 在 最 后 的 CMD 命 令 中 利用 dockerizej 进 行 封 
装 ， 利 用 模板 生成 应 用 配置 文件 ， 并 重 定 辣 日 志文 件 输出 到 标准 输 
出 o 


首先， 创建 配置 模板 文件 为 default.tmpl， 内 容 是 : 


server { 

listen 80 default server; 

listen [::]:80 default server ipv6only-zon; 

root /usr/share/nginx/html; 

index index.html index.htm; 

4 Make site accessible from http://localhost/ 

server name localhost; 

location / ( 
access log off; 
proxy pass {{ .Env.PROXY URL 3; 
proxy set header X-Real-IP $remote addr; 
proxy set header Host $host; 
proxy set header X-Forwarded-For $proxy add x forwarded for; 


该 模板 将 接收 来 自 环 境 变 量 PROXY URLBÍB ° 
编辑 新 的 Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" » 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y wget nginx 

RUN echo "daemon off;" »» /etc/nginx/nginx.conf 

RUN wget https://github.com/jwilder/dockerize/releases/download/v0.0.1 
/dockerize-linux-amd64-v0.0.1.tar.gz 

RUN tar -C /usr/local/bin -xvzf dockerize-linux-amd64-v0.0.1.tar.gz 

ADD default.tmpl /etc/nginx/sites-available/default.tmpl 

EXPOSE 80 

CMD dockerize -template /etc/nginx/sites-available/default.tmpl:/etc/nginx 
/sites-available/default -stdout /var/log/nginx/access.log -stderr /var/log 
/nginx/error.log nginx 


最 后 的 CMD 命 令 中 利用 -template 参 数 指定 了 配置 模板 位 置 ， 以 及 
生成 的 配置 文件 的 位 置 。 


创建 镜像 后 ， 通 过 如 下 的 方式 局 动 一 个 容器 ， 整 个 过 程 无 需 手 动 
添加 Nginx 的 配置 文件 ， 并 且 日 志 重 定 回 到 了 标准 输出 。 


$ docker run -p 80:80 -e PROXY URL-"http://jasonwilder.com" --name nginx -d nginx 


28.9.4 Unikernel 


轻 量 级 的 精简 内 核 技术 ， 项 目地 址 为 http:/www.unikernel.org。 


不 同 于 传统 的 文 持 多 用 户 多 应 用 的 操作 系统 内 核 ，Unikernel 技 术 
的 目的 是 为 运行 的 应 用 编译 链接 进入 所 需要 的 操作 系统 函数 ， 形 成 一 
个 单独 的 编译 映像 ， 内 核 只 提供 单一 地 址 空间 。 无 需 其 他 无 关 的 软 
件 ， 这 个 映像 束 可 以 运行 在 虚拟 机 中 。 


Unikernel 特 点 包括 : 单一 镜像 、 安 全 、 超 轻 量 级 和 快速 启动 。 


不 同 于 容器 的 共 至 操作 系统 内 核 ，Unikemel 古 精简 内 核 ， 每 个 应 
用 实际 上 仍然 运行 在 各 目的 超 轻 量 级 虚拟 机 中 。 


比较 流行 的 Unikermmel 系 统 包 括 : 


-ClickOS: NEC 提 出 的 专门 为 网 络 应 用 优化 的 系统 ， 支 持 C、 
C++ 和 Python; 


Clive: 面 问 云 环境 的 精 傈 操作 系统 ， 基 于 Golang 实 现 ; 


.HaLVM: 早期 Unikernels 系 统 之 一 ， 基 于 Haskell 语 言 实现 ; 
LING: 早期 Unikernels 系 统 之 一 ， 基 于 Erlang 语 言 实现 ; 
.MirageOS: 早期 Unikernels 系 统 之 一 ， 基 于 Ocaml 语 言 实 现 ; 


-OSv: 基于 Java， 文 持 绝 大 多 数 JAR 文 件 部 署 和 运行 。 


Rumprun: 基于 NetBSD 项 目 ， 专 注 于 符合 POSIX 标 准 的 、 不 需要 
Fork 的 应 用 程序 ， 方 便 将 现 有 Linux 程 序 移植 到 Unikernel E; 


runtime.js: 基于 Javascript v8 引 警 的 操作 系统 ， 文 持 JavaScript 尽 
用 o 


目前 ， 专 注 于 Unikernel 技 术 的 Unikernel Systems 公 司 已 被 Docker 公 
司 收购 ， 作 为 对 容器 技术 未 来 方 回 的 探索 和 补充 。 


28.9.5“” 容 髓 化 的 虚拟 机 


不 少 企 业 应 用 仍 运行 在 传统 的 虚拟 机 中 ， 这 些 应 用 希望 吸收 容器 
高 性 能 、 便 捷 的 优势 ， 也 不 想 放 弃 虚 拟 机 安全 的 特点 。 因此， 出 现 了 
一 些 开源 项 目 试图 让 虚拟 机 的 hypervisor 来 支持 容器 格式 ， 代 表 性 的 项 
目 有 Hyper。Hyper 项 目的 官方 网 站 为 https://www.hyper.sh/。 


x B8B 


Hyper H X ATL ss Hl PUTA TR T6 FAS in 

HAN Hyperftis E] FRAI Ads, 
。 因此， 从 核心 上 说 它 是 一 个 轻 量 
hypervisor E, BÆRE TR H RREA 
验 。 


级 的 虚拟 机 镜像 ， 


一 样 来 操作 Hyper 容 
它 带 有 精简 的 操作 系统 


可 以 直接 跑 在 


设计 ， 提 供 十 分 快速 的 体 


28.10 ”本草 小 结 


本 章 介绍 了 围绕 Docker 生 态 环境 的 一 些 热门 技术 项 目 ， 包 括 云 平 
台 构 建 、 持 续集 成 、 容 器 管理 和 编程 开发 等 方 癌 。 


一 项 新 兴 技术 能 否 成 功 ， 技 术 目 身 的 设计 、 实 现 固 然 重 要 ， 但 转 
绕 技 术 的 生态 环境 和 经 济 体 系 往往 更 为 关键 。 


笔者 很 欣喜 地 看 到 ，Docker 已 经 得 到了 广泛 的 认同 和 支持 。 


基于 Docker 的 平台 即 服 务 和 持续 集成 这 两 大 方面 ， 是 笔者 认为 
Docker 技 术 的 所 谓 “ 杀 手 级 应 用 ”。 这些 项 目 充 分 结合 了 Docker 技 术 的 
特点 ， 能 够 充分 地 发 挥 出 使 用 Docker 的 技术 优势 。 


在 具体 的 生产 环境 中 使 用 Docker， 则 无 法 绕 开 容器 管理 和 编程 开 
发 这 两 种 需求 。 特 别 是 大 规模 的 容 右 管理 ， 将 十 一 个 顾 有 挑战 的 难 
题 。 不 断 出 现 的 各 种 方案 ， 特 别 定 有 众多 IT 巨头 文 持 的 Kubernetes 将 在 
一 定 程度 上 缓解 ， 但 仍 不 能 说 解决 了 这 个 挑战 。 


最 后 ， 包 括 Flannel、Weave 等 特色 项 目的 出 现 ， 以 及 OpenStack 这 
类 项 目 对 Docker 的 快速 文 持 ， 都 证 明了 在 某 种 意义 上 容器 在 站 稳 脚 跟 
之 后 ， 已 经 开始 主动 引导 和 影响 技术 体系 的 变 单 ， 这 肥 无 疑问 将 推动 
信息 技术 产品 再 上 新 的 台阶 ! 


DEA 第 见 问题 总 结 
:附录 B Docker 命 令 查询 


附录 C 参考 资源 链接 


P XA ”第 见 问 题 忆 结 

A1 镜像 相关 
1. 如 何 批量 清理 临时 镜像 文件 ? 
答 : 可 以 使 用 docker rmi $(docker images -q -f dangling=true) 命 令 。 
2. 如 何 查 看 镜像 支持 的 环境 变量 ? 


答 : 可 以 使 用 docker run IMAGE env 命 令 。 


3. 本 地 的 镜像 文件 都 存放 在 哪里 ? 


答 : 与 Docker 相 关 的 本 地 资源 都 存放 在 /var/lib/docker/ 目 录 下 ， 以 
aufs 文 件 系统 为 例 ， 其 中 container 目 录 存 放 容 器 信息 ，graph 目 录 存 放 
镜像 信息 ，aufs 日 录 下 存放 具体 的 镜像 层 文件 。 


4. 构 建 Docker 镜 像 应 该 遵循 哪些 原则 ? 


答 : 整体 原则 上 ， 尽 量 保持 镜像 功能 的 明确 和 内 容 的 精简 ， 要 点 


:尽量 选取 满足 需求 但 较 小 的 基础 系统 镜像 ， 例 如 大 部 分 时 候 可 以 
选择 debian: wheezy 或 debian: jessie 镜 像 ， 仅 有 不 足 百 兆 大 小 ; 


清理 编译 生成 文件 、 安 装 包 的 缓存 等 临时 文件 ; 


安 闭 各 个 软件 时 候 要 指定 准确 的 版 本 号 ， 并 避免 引入 不 需要 的 依 
DUE 


:从 安全 角度 考虑 ， 应 用 要 尽量 使 用 系统 的 库 和 依赖 ; 


.如 采 安 痛 应 用 时 候 需 要 配置 一 些 特殊 的 环境 变量 ， 在 安装 后 要 还 
原 不 需要 保持 的 变量 值 ; 


.使 用 Dockerfile 创 建 镜 像 时 候 要 添加 .dockerignore 文 件 或 使 用 干净 
的 工作 目录 。 


5. 亿 到 网 络 问 题 ， 无 法 pull 镜 像 ， 命 令 行 指 定 http_proxy 无 效 ， 怎 


么 办 ? 


Z: 在 Docker 配 置 文件 中 添加 export 
http_proxy="http:/<PROXY_HOST>:<PROXY_PORT>", 之 后 重启 
Docker 服 务 即 可 。 


A2 AiR 


1 883R Hie, docker ps 命令 查看 不 到 ， 数 据 会 丢失 么 ? 


答 : 容器 退出 后 会 处 于 终止 (exited) 状态 ， 此 时 可 以 通过 docker 
ps -a 命 令 查看 。 其 中 的 数据 也 不 会 丢失 ， 还 可 以 通过 docker start 命 令 
动 它 。 只 有 删除 挥 容器 才 会 清除 所 有 数据 。 


ril 
TF 


2. 如 何 停 止 所 有 正在 运行 的 容器 ? 

答 : 可 以 使 用 docker kill $(docker ps -q) 命 令 。 
3. 如 何 清理 批量 后 全 停止 的 容 左 ? 

答 : 可 以 使 用 docker rm -f $(docker ps -qa) 命 令 。 
4. 如 何 获 取 茶 个 容 句 的 PID 信 息 ? 


洽 : 可 以 使 用 docker inspect --format '{{ .State.Pid 
}}<CONTAINERID or NAME> 命 令 。 


5. 如 何 获取 某 个 容器 的 IP 地 址 ? 


答 : 可 以 使 用 docker inspect --format '{{ .NetworkSettings.IPAddress 
}}<CONTAINER ID orNAME> 命 令 。 


6. 如 何 给 容器 指定 一 个 固定 也 地址， 而 不 是 每 次 重启 容器 IP 地 址 都 


SARP 


Mp 


t. 目前 Docker 并 没有 提供 直接 的 对 容 硕 耻 地 址 的 管理 文 择 ， 用 
户 可 以 参考 本 书 第 20 章 “网 络 配置 ?中 介绍 的 创建 点 对 点 连接 例子 ， 来 
手动 配置 容器 的 静态 IP。 或 者 在 启动 容器 后 ， 再 手动 进行 修改 。 还 可 
参考 后 面 “ 其 他 ”类 的 问题 : “如 何 进入 Docker 容 器 的 网 络 命名 空间 ? ” 


7. 如 何 I 临 时 退出 一 个 正在 交互 的 容器 的 终端 ， 而 不 终止 它 ? 


答 : 按 Ctrl-p Ctrl-q。 如 果 按 Ctrl-c 往 往 会 让 容器 内 应 用 进程 终止 ， 


进而 会 终 IER i 


8. 使 用 docker port 命 令 映 射 容 器 的 端口 时 ， 系 统 报错 “Error: No 


public port '80' published for xxx”， 怎 么 办 ? 


答 : 创建 镜像 时 Dockerfile 要 通过 EXPOSE 命 令 指 定 正 确 的 开放 端 


x HH 


口 ， 容 器 局 动 时 指定 PublishAllPort=true。 


9. 可 以 在 一 个 容器 中 同时 运行 多 个 应 用 进程 么 ? 


Tt. 一 般 并 不 推荐 在 同一 个 容器 内 运行 多 个 应 用 进程 。 如 果 有 类 
似 需 求 ， 可 以 通过 一 些 额 外 的 进程 管理 机 制 ， 比 如 supervisord 来 管理 
所 运行 的 进程 。 可 以 参考 


https://docs.docker.com/articles/using, supervisord/ ° 


10. 如 何 控制 容器 占用 系统 资源 (CPU ^ AE) 的 份额 ? 


答 : 在 使 用 docker create 命 令 创建 容 属 或 使 用 docker run 创 建 并 局 
动容 器 的 时 候 ， 可 以 使 用 -cl--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 
的 权重 ， 使 用 -m|--memory[=MEMORY] 参 数 来 调整 容器 使 用 内 存 的 大 


小 。 


A.3 仓库 相关 


1. 仓 库 (Repository) 、 注 册 服 务 器 (Registry) 、 注 册 索 引 
(Index) 之 间 有 何 关 系 ? 


首先 ， 仓 库 征 存放 一 组 关联 镜像 的 集合 ， 比 如 同一 个 应 用 的 不 同 
版 本 的 镜像 。 注 册 服 务 器 是 存放 实际 的 镜像 文件 的 地 方 。 注 册 索 引 负 
责 维护 用 户 的 账号 、 权 限 、 搜 索 、 标 等 等 的 管理 。 因 此 ， 注 册 服 务 需 
利用 注册 索引 来 实现 认证 等 管理 。 


2. 从 非 官 方 仓 库 (例如 non-official-repo.com) 下 载 镜像 时 候 ， 有 时 
候 会 提示 “Error: Invalid registry endpoint https://non-official- 


repo.com/v1/......", EAJ? 


Z: Docker 自 1.3.0 版 本 往 后 ， 加 强 了 对 镜像 安全 性 的 验证 ， 需 要 
添加 私有 仓库 证 书 ， 或 者 手动 添加 对 非 官 方 仓库 的 信任 。 编 辑 Docker 
配置 文件 ， 在 其 中 添加 : DOCKER_OPTS="--insecure-registry non- 
official-repo" 之 后 ， 重 启 Docker 服 务 即 可 。 


A.4 配置 相关 


1.Docker 的 配置 文件 放 在 哪里 ， 如 何 修改 配置 ? 


: 使 用 upstart 的 系统 (Ubuntu 14.04) 的 配置 文件 
在 /etc/default/docker， 使 用 systemd 的 系统 (如 Ubuntu 16.04、Centos 
等 ) 的 配置 文件 在 /etc/systemd/system/docker.service.d/docker.conf ° 


Ubuntu 下 面 的 配置 文件 内 容 如 下 ， 读 者 可 以 参考 配 。 (如 果 出 现 
该 文件 不 存在 的 情况 ， 重 启 或 者 自己 新 建 一 个 文件 都 可 以 解决 。) 


# Customize location of Docker binary (especially for development testing). 
#DOCKERD="/usr/local/bin/dockerd" 
# Use DOCKER_OPTS to TE the daemon startup options. 
#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 

# If you need Bocker to use an HTTP proxy, it can also be specified here. 
we http proxyz"http://127.0.0.1:3128/" 
# This is also a handy place to tweak where Docker's temporary files go. 
Zexport TMPDIR-"/mnt/bigdrive/docker -tmp" 


2. 如 何 更 改 Docker 的 默认 存储 位 置 ? 


答 : Docker 的 默认 存储 位 置 是 /vavlib/docker， 如 果 和 希望 将 Docker 
的 本 地 文件 存储 到 其 他 分 区 ， 可 以 使 用 Linux 软 连接 的 方式 来 完成 ， 或 
者 在 启动 daemon 时 通过 -g 参 数 指定 。 


例如 ， 如 下 操作 将 默认 存储 位 置 迁移 到 /storage/docker 。 


[root@s26 ~]# df -h 
Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/VolGroup-lv root 50G 5.3G 42G 129 / 


tmpfs 48G 228K 48G 1% /dev/shm 


/dev/sda1 485M 40M 420M 9% /boot 
/dev/mapper/VolGroup-lv_home 222G 188M 210G 1% /home 
/dev/sdb2 2.7T 323G 2.3T 13% /storage 


[root@s26 ~]# service docker stop 

[root@s26 ~]# cd /var/lib/ 

[root@s26 lib]# mv docker /storage/ 

[root@s26 lib]# ln -s /storage/docker/ docker 

[root@s26 lib]# ls -la docker 

lrwxrwxrwx. 1 root root 15 11H17 13:43 docker -> /storage/docker 
[root@s26 lib]# service docker start 


3. 使 用 内 存 和 swap 限 制 启 动容 器 时 候 收 到 警告 “WARNING: 
Your kernel does not support cgroup swap limit.WARNING: Your kernel 


does not support swap limit capabilities.Limitation discarded.”， 怎 么 办 ? 


答 : 这 是 因为 系统 默认 没有 开局 对 内 存 和 swap 使 用 的 统计 功能 ， 
引入 该 功能 会 市 来 性 能 的 下 降 。 要 开局 该 功能 ， 可 以 采取 如 下 操作 : 


1) 编辑 /etc/default/grub 文 件 (Ubuntu 系 统 为 例 ) ， 配 置 
GRUB CMDLINE LINUX="cgroup_enable=memory swapaccount=1"; 


2) 更 新 grub: $sudo update-grub; 


3) 重启 系统 即 可 。 


A.5 Docker 与 虚拟 化 


1.Docker 与 LXC (Linux Container) 有 何不 同 ? 


€: LXC 利 用 Linux 上 相关 技术 实现 了 容器 。Docker 则 在 如 下 的 几 
个 方面 进行 了 改进 : 


移植 性 : 通过 抽象 容 吉 配置 ， 容 需 可 以 实现 从 一 个 平台 移植 到 吃 


一 个 平台 


-镜像 系统 : 基于 AUFS 的 镜像 系统 为 容器 的 分 发 市 来 了 很 多 的 便 
利 ， 同 时 共同 的 镜像 层 只 需要 存储 一 份 ， 实 现 高 效率 的 存储 ; 


:版 本 管理 ， 类似 于 Git 的 版 本 管理 理念 ， 用 户 可 以 更 方便 地 创建 、 
管理 镜像 文件 ; 


“仓库 系统 ， 仓库 系统 大 大 降低 了 镜像 的 分 发 和 管理 的 成 本 ; 


.周边 工具 : 各 种 现 有 工具 (配置 管理 、 云 平台 ) 对 Docker 的 文 
持 ， 以 及 基于 Docker 的 PaaS、CI 等 系统 ， 让 Docker 的 应 用 更 加 方便 和 
多 样 化 。 


2.Docker 与 Vagrant 有 何不 同 ? 


E: 两 者 的 定位 完全 不 同 。 


Vagrant 类 似 Boot2Docker 〈 一 款 运行 Docker 的 最 小 内 核 ) , ZE— E 
虚拟 机 的 管理 环境 。Vagrant 可 以 在 多 种 系统 上 和 虚拟 机 软件 中 运行 ， 


可 以 在 Windows、Mac 等 非 Linux 平 台 上 为 Docker 提 供 文 持 ， 上 自身 具有 
较 好 的 包装 性 和 移植 性 。 


原生 的 Docker 只 能 运行 在 Linux 平 台 上 ， 但 局 动 和 运行 的 性 能 都 比 
虚拟 机 要 快 ， 往 往 更 适合 快速 开发 和 部 车 应 用 的 场景 。 


简单 说 : Vagrant 适 合用 来 管理 虚拟 机 ， 而 Docker 适 合用 来 管理 应 
用 环境 。 


3. 开 发 环境 中 Docker 和 Vagrant 该 如 何 选 择 ? 


答 : Docker 不 是 虚拟 机 ， 而 是 进程 隔离 ， 对 于 资源 的 消耗 很 少 ， 
但 是 目前 需要 Linux 环 境 支持 。Vagrant 是 虚拟 机 上 做 的 封装 ， 虚 拟 机 本 
会 消耗 资源 。 


如 果 本 地 使 用 的 是 Linux 环 境 ， 推 荐 都 使 用 Docker 。 


如 果 本 地 使 用 的 是 OSX 或 者 Windows 环 境 ， 那 就 需 要 开 虚 拟 机 ,， 
单一 开发 环境 下 Vagrant 更 人 简单， 多 环境 开发 下 推荐 在 Vagrant 里 面 再 使 
用 Docker 进 行 环 境 隔 离 。 


A.6 其 他 


1.Docker 能 在 非 Linux 平 台 〈 比 如 Windows 或 MacOS) 上 运行 么 ? 


. 可 以 。 有 目前 需要 使 用 docker for mac、boot2docker 等 软件 创建 
一 个 轻 量 级 的 Linux 虚 拟 机 层 。 


2. 如 何 将 一 台 宿 主 主机 的 docker 环 境 迁 移 到 另外 一 台 宿 主 主机 ? 


Z. 停止 Docker 服 务 。 将 整个 Docker 存 储 文件 夹 复制 到 另外 一 人 台 
牡 主 主 机 ， 然 后 调整 另外 一 台 和 宿主 主机 的 配置 即 可 。 


3. 如 何 进 入 Docker 容 器 的 网 络 命名 空间 ? 


答 : Docker 在 创建 容器 后 ， 删 除了 答 主 主机 上 /var/run/metns 目 录 中 
的 相关 网 络 命名 空间 文件 。 因此， 在 宾主 主机 上 是 无 法 看 到 或 访问 容 
右 的 网 络 命名 空间 的 。 用 户 可 以 通过 如 下 方法 来 手动 恢复 它 : 


1) 使 用 下 面 的 命令 查看 容器 进程 信息 ， 比 如 这 里 的 1234: 


$ docker inspect --format='{{. State.Pid}} ' $container_id 
1234 


2) 在 /proc 目 录 下 ， 把 对 应 的 网 络 命名 空间 文件 链接 


fil|/var/run/netns H 5& ° 


$ sudo ln -s /proc/1234/ns/net /var/run/netns/ 


3) 在 宿主 主机 上 就 可 以 看 到 容器 的 网 络 命名 空间 信息 。 例 如 : 


$ sudo ip netns show 
1234 


此 时 ， 用 户 可 以 通过 正常 的 系统 命令 来 查看 或 操作 容器 的 命名 空 
间 了 。 例 如 修改 容器 的 IP 地 址 信息 为 172.17.0.100/16: 


$ sudo ip netns exec 1234 ifconfig ethO 172.17.0.100/16 


IKB Docker 命 令 查 询 
B.1 基本 语法 


Docker 命 令 有 两 大 类 ， 客 户 端 命 令 和 服务 端 命令 。 前 者 是 主要 的 
操作 接口 ， 后 者 用 来 启动 Docker daemon 。 
.客户 端 命 令 基本 格式 为 : docker [OPTIONS] COMMAND [arg...] 


.服务 端 命令 基本 格式 为 : docker daemon [OPTIONS] ° 


可 以 通过 man docker 或 docker help 来 查看 这 些 命令 。 


B.2 客户 端 命 令 选 项 


选 项 说 明 
--conzig-"" 指定 客户 端 配 置 文件 ,默认 为 /.docker 
-D-true|false 是 否 使 月 debug 人 模式。 默认 不 开户 
指定 命令 对 应 Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 
-H, --host=[] t£ (unix:/i/path/ta/socket)， 文 件 句 柄 ( fd:Wsocketfd) 或 tcp 套 接 字 


(tcp://[host[:port]] )， 默 认为 unix:///var/run/docker.sock 
-l, --log-level- "debug|:info| »"-" —— 
指定 日 志 输 出 级 别 


warn|error|fatal" 


--tls-true|-zalse 是 否 对 Dockcr daemon 启用 TLS 安全 机 制 ， 默 认为 否 
--tlscacert- /.cocker/ca.pem TLS CA 签名 的 可 信 证 书 文件 路 径 

--tlscer-- /.docker/cert.pem TLS 可 售 证 书 文件 路 径 

--t1scer= /.docker/kev.pem TLS 密 铀 文件 路 径 


--tlsverify-true|false 启用 TLS 校 验 ， 默 认为 否 


B.3 daemon 命令 选项 


选 项 


--api-cors-headers"" 


--authorization-plugins"" 


-pe"" 


--bips"" 


--cgroup-parents"" 


--cluster-storezs"" 


--cluster-advertise- 
--cluster-store-opt* 


--config-filesz"/etc/docker/ 


"o 


"" 


daemon.json" 


--containerds"" 


-D, 


--debugstrue|false 


--default-gateways"" 


--default-gateway-v6s"" 


--default-ulimit-z[] 


--disable-legacy-registrystrue| 


false 


--dnss"" 


--dns-opts"" 


--dns-searchz[] 


--exec-opts[] 


--exec-roots"" 


--fixed-cidrs"" 


--fixed-cidr-v6»"" 


-G, 


“gr 


-H, 


--groups"" 


--graphs"" 


--hosts[] 


--iccestrue|false 


--insecure-registrys-[] 


--ips"" 


--ip-forward»strue|false 


--ip-masq-ztrue|false 


说 8H 
CORS 头 部 域 ， 默 认 不 人 允许 访问 CORS， 要 人 允许 任意 的 路 域 访 


问 ， 可 以 指定 为 “*” 


载 人 认证 的 插件 
将 容器 挂 载 到 一 个 已 存在 的 网 桥 上 上 - 指定 为 "none' 时 则 禁用 容 


器 的 网 络 ， 与 --bip 选项 互 斥 


让 动态 创建 的 docker0 网 桥 采 用 给 定 的 CIDR 地 址 ; 与 -b 选 项 


HJE 


指定 cgroup 的 父 组 ， 默 认 fs cgroup 情况 下 为 /docker, systemd 


cgroup 情况 下 为 system.slice 


构成 集群 {如 Swarm) 时 ， 集 群 键 值 数 据 库 服务 地 址 
构成 集群 时 ,自身 的 被 访问 地 址 ， 可 以 为 host:port 或 interface:port 
构成 集群 时 . 键 值 数 据 库 的 配置 选项 


daemon 配置 文件 路 径 


containerd 文件 的 路 径 

是 否 使 用 Debug HEC, SAU false 

容器 的 IPv4 网 关 地 址 ， 必 须 在 网 桥 的 子 网 段 内 
容器 的 IPv6 网 关 地 址 

默认 的 ulimit ff 


是 否 允 许 访 问 旧 版 本 的 镜像 仓库 服务 器 


指定 容器 使 用 的 DNS 服务 器 地 址 

DNS 选项 

DNS 搜索 域 

运行 时 的 执行 选项 

容器 执行 状态 文件 的 根 路 径 。 默 认为 /var/run/docker 
限定 分 配 IPv4 地 址 范围 

限定 分 配 IPv6 地 址 范围 

分 配给 unix 套 接 字 的 组 ， 默 认为 docker 

Docker 运行 时 的 根 路 径 ， 默 认为 /var'lib/docker 

指定 命令 对 应 Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 字 


( unixz///path/to/socket), X fF i] lj (fd:Wsocketfd) 或 tep 套 接 字 
{tcp:W[host[:pord])， 默 认为 unixz///var/run/docker.sock 


是 否 启 用 容器 间 以 及 四 daemon 所 在 主机 的 通信 。， SEA true 

允许 访问 给 定 的 非 安全 仓库 服务 

Sp Tr de 34] EL T foe B SAGA. IP 地 址 。 默 认为 0.0.0.0 

是 否 检查 启动 在 Docker 主 机 上 的 启用 卫 转 发 服务 ， 默 认 开 
注意 关闭 该 选项 将 不 对 系统 转发 能 力 进 行 任何 检查 修改 

是 否 进 行 地 址 伪装 ， 用 于 容器 访问 外 部 网 络 ， 默 认 开启 


选 项 


--iptables-true|false 


(E ) 


说 明 
是 否 允 许 Docker 添加 iptables 规则 -默认 为 true 


--ipv6-true|false 


aly 


error|fatal" 


--labels"[]" 


--log-driver-"json-file|syslogl| 


journald|gelf|fluentd|awslogs|splunk| 


--log-level-2"debug|info|warn| 


etwlogslgcplogs|none" 


--log-opt-[] 
--mtu-VALUE 


-p- "n 


--raw-logs 


是 否 启用 IPv6 支持 ， 默 认 关 闭 


定 日 志 输 出 级 别 


n 


添加 指定 的 键 值 对 标注 
指定 日 志 后 端 驱动 ， 默 认为 json-file 


日 志 后 端的 选项 

指定 容器 网 络 的 mtu 

指定 daemon 的 PID 文件 路 径 。 默 认为 /var/run/docker.pid 
输出 原始 、 未 加 分 析 的 日 志 信息 


--registry-mirror-:// 


-S, 


--storage-driver-"" 


--selinux-enabled-true|false 


--storage-opt-[] 


--tls-true|false 


--tlscacert- /.docker/ca.pem 


--tlscert- 


--tlscert- 


/.docker/cert.pem 


/.docker/key.pem 


--tlsverify-true|false 


--userland-proxy-true|false 


--userns-remap-default|uid:gid|u 


ser:group|user|uid 


z| 


以 通 


指定 docker pull 时 使 用 的 注册 服务 状 镜 像 地 址 
指定 使 用 给 定 的 存储 后 端 


是 否 启用 SELinux 支持 。 默 认 值 为 false。SELinux 目前 尚 不 支 


持 overlay 存储 驱动 


驱动 后 端 选 项 

是 否 对 Docker daemon 启用 TLS 安全 机 制 ， 默认 为 否 
TLS CA 签名 的 可 信 证 书 文件 路 径 

TLS 可 信 证 书 文件 路 径 

TLS 密 钥 文 件 路 径 

启用 TLS 校 验 . 默认 为 否 

是 否 使 用 用 户 态 代理 来 实现 容器 间 和 出 容器 的 回环 通信 ， 


为 true 


默认 


指定 容器 的 用 户 命名 空间 ， 默 认 是 创建 新 的 UID 和 GID 映射 


到 容器 内 进程 


过 man docker-COMMAND Xdocker help COMMAND 来 查看 


命令 N.H 


attach 依附 到 一 个 正在 运行 的 容器 中 

build 从 一 个 Dockerfile 剑 建 一 个 镜像 
commit 从 一 个 容器 的 修改 中 创建 一 个 新 的 镜像 
cp 在 容器 和 本 地 宿主 系统 之 间 复 制 文件 
create 创建 一 个 新 容器 ， 但 并 不 运行 它 


dift 检查 一 个 容 铝 内 文件 系统 的 变更 ， 和 包括 修改 和 增加 


命 令 
events 
exec 
export 
history 
images 
import 
info 
inspect 
kill 
load 
login 
logout 
logs 
Network 
node 
pause 
port 

ps 

pull 
push 
rename 
restart 
rm 

rmi 

run 
save 
search 
service 
start 
stats 
stop 
swarm 
tag 

top 
unpause 
update 
version 
volume 


wait 


从 服务 端 获取 实时 的 事件 

在 运行 的 容器 内 执行 命令 

导出 容器 内 容 为 一 个 tar 包 

显示 一 个 镜像 的 历史 信息 

列 出 存在 的 镜像 

导 人 一 个 文件 (典型 为 tar 包 ) 路 径 或 目录 来 创建 一 个 本 地 镜像 
显示 一 些 相 关 的 系统 信息 

显示 一 个 容器 的 具体 配置 信息 

关闭 一 个 运行 中 的 容器 (包括 进程 和 所 有 相关 资源 ) 

从 一 个 tar 包 中 加 载 一 个 镜像 

注册 或 登录 到 一 个 Docker 的 仓库 服务 器 

从 Docker 的 仓库 服务 器 登 出 

获取 容器 的 log 信息 

管理 Docker 的 网 络 ， 包 括 查 看 、 创 建 、 删 除 、 挂 载 、 印 载 等 
管理 swarm 集群 中 的 节点 .包括 查看 、 更 新 、 删 除 、 提 升 /取消 管理 节点 等 
暂停 一 个 容器 中 的 所 有 进程 

查找 一 个 nat 到 一 个 私有 网 口 的 公共 口 

列 出 主机 上 的 容器 

从 一 个 Docker 的 仓库 服务 器 下 拉 一 个 镜像 或 仓库 

将 一 个 镜像 或 者 仓库 推送 到 一 个 Docker 的 注册 服务 器 

重 命 名 一 个 容器 

重 局 一 个 运行 中 的 容器 

删除 给 定 的 若干 个 容器 

删除 给 定 的 若干 个 镜像 

创建 一 个 新 容器 ， 并 在 其 中 运行 给 定 命 令 

保存 一 个 镜像 为 tar 包 文 件 

在 Docker index 中 搜索 一 个 镜像 

管理 Docker 所 启动 的 应 用 服务 ,包括 创建 、 更 新 、 删 除 等 
启动 一 个 容器 

输出 (一 个 或 多 个 ) 容器 的 资源 使 用 统计 信息 
终止 一 个 运行 中 的 容器 

管理 Docker swarm 集群 ， 包 括 创建 、 加 人、 退出 、 更 新 等 
为 一 个 镜像 打 标签 

查看 一 个 容器 中 正在 运行 的 进程 信息 

将 一 个 容器 内 所 有 的 进程 从 暂停 状态 中 恢复 

更 新 指定 的 若干 容器 的 配置 信息 

输出 Docker 的 版 本 信息 

管理 Docker volume， 包 括 查 看 、 创 建 、 删 除 等 

阻塞 直到 一 个 容器 终止 ， 然 后 输出 它 的 退出 符 


B. 一 张 图 总 结 Docker 的 命令 
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Container 


官方 网 站 


Docker 官 方 主页 : https://www.docker.com 
Docker 官 方 博客 : https://blog.docker.com/ 

DockerE 7; X15: https://docs.docker.com/ 

Docker Hub: https://hub.docker.com 

Docker 的 源 代码 仓库 : https://github.com/docker/docker 
Docker 发 布 版 本 历史 : https://docs.docker.com/release-notes/ 
Docker 常 见 问题 : https://docs.docker.com/engine/faq/ 


Docker 远 端 应 用 API: 


https://docs.docker.com/reference/api/docker remote api/ 


Dockerfile&-£ https://docs.docker.com/reference/builder/ 


Dockerfile 最 佳 实践 : https://docs.docker.com/engine/userguide/eng- 


image/Dockerfile_best-practices/ 


技术 交流 


Docker 邮 5 件 列表 : https://groups.google.com/forum/Z!forum/docker- 
User 


Docker 的 IRC 频 道 : https://chat.freenode.net#docker 


Docker 的 Twitter 主页 : https://twitter.com/docker 


Docker 的 StackOverflow 问 答 主页 : 


https://stackoverflow.com/search?q-docker 


